Foro de elhacker.net

La seguridad de Avast deja bastante que desear, mostraré algunos motivos que a mi parecer son demasiado "infantiles" en un antivirus, aunque quizás infantiles no sea la palabra adecuada, más bién "limitado" por que cada antivirus hace lo que puede.
No entraré en detalles de ninguna clase en los procesos y/o operaciones necesarias,ya que este hilo no es un manual/tutorial de ataque ni nada por el estilo, me limitaré solo a mostrar la inseguridad del antivirus, aunque cualquiera que sepa algo sobre este tema lo podrá observar con claridad y comprensión.

NOTA: Todas las operaciones se hacen bajo Windows XP y en una cuenta de Administrador.
(Aunque puede hacerse por igual en una cuenta sin privilegios haciendo algunas variaciones)

Una de mis sorpresas al analizar algunos programas con Avast fue que tanto netcat como serv-u (servidor ftp) no levantaba ningún tipo de alarma, para dicho antivirus no son peligrosos estos "programitas" que tanto daño pueden hacer a un sistema. Radmin si lo detecta, pero con algunas sencillas modificaciones se vuelve indetectable, teniendo estos tres programas en una misma carpeta y pasando desapercibido al antivirus, la imaginación empieza "a volar" :xD

Como no pondré codigo alguno, explicaré por encima lo que hice para ocultar y correr los procesos mencionados anteriormente, complementándolo con el video de más abajo.
Para ocultar los archivos lo que hice fue comprimirlo junto a un programa portable (7-Zip en este caso) en un archivo autoextraible, programando la ejecución de 7-Zip portable y un archivo batch que se encargará de agregar las entradas en el registro para ejecutar los procesos en el arranque, copiar todos los archivos en system32 y finalmente ejecutar los tres procesos.

Como una imagen vale más que mil palabras y este post no es un manual de ataque, no me extenderé más, tan solo vea el video y observe todas las operaciones descritas anteriormente. Al finalizar el video, póngase por unos instantes en la piel del cual estaría la persona "hackeada", donde alguién observa todo lo que haces con el ordenador, tiene todo tu disco duro a merced con un servidor ftp instalado donde subir y descargar archivos a su antojo y una shell del sistema pudiendo ejecutar cualquier comando, de paso subirte un keylogger y pillarte todas las contraseñas posibles, a mi me dan escalofríos tan solo de imaginarlo, para desgracia de algunos, actualmente miles de personas se encuentran en una situación similar, ¿qué antivirus usarán? ¿Kaspersky? ¿Avast? ¿Nod32? ¿ninguno?.




by Mytnick

Si un antivirus detectase el Serv-u como malware dirías que es imperdonable ese tipo de falsos positivos :xD

¿Quieres un premio por hacer funcionar un ftp como administrador?

Buenas mytnick ,

Me parece muy interesante. No encuentro nada lógico que, a día de hoy, aunque fuera por heurística, Avast no detecte "nc" como 'peligroso'. ¿Lo has probado con otros antivirus?

Qué menos que una simple advertencia: "¡¡OJO!! No sé qué es, pero... En tus manos lo dejo".

Otra cuestión a tener en cuenta es que, en los tiempos que corren, un buen firewall evita 'muchas cosas'.

Saludos!!

Solo tenéis que ir a los foros del avast y veréis unos cuantos post quejandose del falso positivo del netcat que daba antes.

Pasen y vean: http://forum.avast.com/index.php?action=search

Busquen netcat.

Buenas T0rete

Sigue sin valerme. La gente es libre de quejarse, pero todos sabemos qué podemos hacer con netcat. Todo extremo se vuelve absurdo: Ni borrarlo sin más ni pasar de él como si fuera totalmente inofensivo.

No cuesta nada poner: "Aplicación potencialmente peligrosa". El que sepa de qué va, lo dejará. El que no, lo borrará tal cual.

Por otro lado, el trabajo de mytnick me sigue gustando. Es fácil decir:
Mucho más complicado resulta investigar y valorar el trabajo de quien, además, comparte lo encontrado.

Saludos.

Lo que es fácil es criticar un excelente producto por una cosa como esa. Encima con la versión free.

Yo veo algunas cosas para tener en cuenta:

Los permisos de Administrador en el equipo: hace algún tiempo había publicado un post similar (http://foro.elhacker.net/seguridad/microsoft_security_essential_y_permisos_de_cuenta-t269262.0.html) a este pero sobre el Security Essentials de Microsoft, comentando justamente los problemas que puede acarrear el tener la cuenta de admin por defecto en el pc aún cuando se tenga un antivirus.

El no tener un firewall: a mi criterio no alcanza con tener un antivirus en el pc, ya que siempre esta entre otras cosas la posibilidad de que aparezca algún bug gordo en la red, vease el virus conficker y el fallo que aprovecha.

El tipo de tool que representa el netcat:
Tal vez como dice Arcano debería de alertar sobre la peligrosidad del netcat (http://www.virustotal.com/file-scan/report.html?id=be4211fe5c1a19ff393a2bcfa21dad8d0a687663263a63789552bda446d9421b-1291015664) y que cada uno vea lo que hace , pero el netcat primero que nada es una herramienta y va en el uso que se le de, y por lo mismo viene en toda distro de linux, y si es por "troyanizar" cosas, en lugar de netcat podría ser cryptcat (http://www.virustotal.com/file-scan/report.html?id=f17a145aa63e5d1cfa50c8dce96e7b9b2f40229bdbdb67ccdf2b0714294235cd-1286191673), VNC, Radmin o cualquier otro (incluso los reproductores de musica y video realizan conexiones), y eso sin tener en cuenta que las conexiones no son problema del AV, son problema del firewall, con un firewall nada de eso funcionaría.

Saludos

Buenas...

Veeenga, que no haya malos rolletes. Que de poco sirven.

A mí también me gusta Avast. La verdad es que lo suelo recomendar. Como dice Novlucker, netcat es una herramienta. Con lo cual, visto así; sería lógico que Avast no la detectara como peligrosa. Toda la razón también con el firewall. PERO no costaría nada avisar de 'posible peligrosidad'. Que las "herramientas" se pueden usar de muchas maneras, para bien o para mal. Preguntadles a algunas novias sobre las herramientas de sus novios...  :¬¬ -Broma fácil pa quitarle hierro al asunto...-

Comodo security, en versión free, detecta VNC como troyano. Sí, toca los pies, pero una vez avisado, sí sabes de qué va; aplicas 'como segura' y listo.

Novlucker say:
Amén. Todo dicho.

Enga, saludos!!

Si un programa lo detecta como troyano ya tienes un problema grave con la empresa que lo distribuye y otro problema con el 90% de los usuarios que al leer eso pensaran que es realmente un troyano. Los falsos positivos son bastante polémicos ya que los falsos negativos los tenemos asumidos :xD

Buenas!
El problema es que, que desde mi punto de vista, para una solución de seguridad, no debe ser tan simple distinguir entre lo bueno y lo malo.
Netcat, Lo puede usar desde un lamer hasta un analista forense para enviar un dump de ram a su computador.
Como siempre, es mucho mejor estar de user que estar de admin.
Lo que hago yo es:  crear una cuenta de administrador y otra de usuario.
Cuando quiero hacer algo en la cuenta de usuario, voy a la de admin y uso el comando net localgroup y agrego al usuario al grupo administrador.
Recordar también, que el firewall de windows, no se le pueden exceptuar puertos modificando la key de su servicio si el usuario está como usuario, ya que no se puede modificar las keys de hklm.

Claro que, como dice novlucker, hay que tener un buen firewall, además de, todo a la fecha (so,navegador,etc).
Saludos

deduzco que usas Avast, y que lo defenderás a capa y espada contra quién intente desprestigiar a tu antivirus favorito, pero he de decirte que tu antivirus deja mucho que desear, cualquiera que sepa un poco del tema sabe que esta versión del serv-u troyanizado es detectado por la mayoria de antivirus, por que no es un servidor ftp que corra como normalmente lo haría cualquier otro, por otro lado,amigo, no necesito ningún premio por correr un ftp como administrador.


Lo que es fácil es criticar al que critica por el simple hecho de usar el soft, y aún no sabiendo del tema, y yo no critico nada, tan solo muestro sus puntos más débiles, veo que no mencionas nada del radmin ni de netcat, si para ti netcat es un simple falso positivo es por que no conoces realmente lo que puede llegar hacer esta herramienta, que si al menos fuera un falso positivo podrias estar un poco más seguro con tu antivirus, pero por desgracia con dicho soft no podrás detectar a netcat en tu sistema.

Cualquier antivirus hubiera evitado todas las operaciones que logré ejecutar en el sistema, independientemente desde la cuenta que se hiciera, por suerte o por desgracia, cuando usaba windows probé y trasteé con muchos antivirus, y jamás topé con alguno tan torpe e inseguro como Avast, y es que de todos los antivirus solo hay un rey, el señor Kaspersky, porque a este antivirus si se le ha de llamar señor, todo lo que pude hacer con Avast hubiera sido un chiste para KAV, metafóricamente hablando el antivirus se hubiera reido en mi cara al ver lo que intentaba hacer, aún así lo hiciera desde una cuenta de administrador, si es que realmente no he tenido que hacer casi nada para saltear al "excelente" Avast, si hasta un niño puede hacer lo que yo hice, es triste que un antivirus que se encarga de la seguridad no sea seguro,(quién guarda al guarda?)pero es la cruda realidad.

Sobre lo que mencionais Arcano y Novlucker del firewall, está claro que con un firewall todo hubiera sido en vano, pero la intención era testear el antivirus, si lo hubiera hecho con un firewall le habría sacado las castañas del fuego al antivirus, la diferencia real sería hacer el mismo proceso con otros antivirus, ninguno lo permitiria, pero Avast sí.

Un saludo a todos los que usen Avast (y a los que no lo usen también) :xD


PD: Un antivirus que deja correr estos tres procesos y se quede tan ancho...eso no tiene perdón de Diós, ajajaja..
PD2: Ya estoy viendo a algunas personas que hayan visto el video y usen Avast reportando para que netcat sea detectado por el antivirus :laugh: :laugh:

Buenas mytnick



Por simple curiosidad, ¿con qué otros antivirus lo has probado?

Saludos.

El netcat es una utilidad, a mi realmente me molesta cuando los anti virus te lo detectan como un virus, cuando es un programa muy util. Realmente, si el avast no detecta esos programas como virus, lo hace un mejor anti virus, no uno peor.

Analiza (mytnick) los archivos en cuestion con otros antivirus: Kaspersky, NOD32...

Cuando tengas los resultados, los compartes con todos, y...

Intentalo aqui:
http://virscan.org/

http://www.virustotal.com/index.html


Me parece que tu critica a AVAST es en su forma muy "INFANTIL"

Te guste o no; AVAST es uno de los mejores antivirus que hay en la actualidad.
Avast tiene una version gratuita; no como otros.
Otros que tampoco son seguros al 100% (no hay antivirus seguro al 100%),y que cuestan una pasta.
Avast apuesta claramente por los usuarios que no tienen recursos suficientes proporcionandoles la posibilidad de disfrutar de una magnifica version gratuita, y tu me vienes con estas. :huh: :huh: :huh: :huh: :huh: :huh:

No hagas un drama de esto; por el amor de dios.



¡¡¡Realiza el analisis con otros antivirus, pon en comun los resultados, y por el contrario CALLATE DE UNA JODIDA VEZ (deja de difamar al magnifico AVAST)!!!


Salu2.

hola Arcano, los he probado con Kaspersky, Nod32, Bitdefender, Mcafee, AVG y Antivir.

un saludo


Osea, que prefieres que se te cuele en un archivo oculto o algo similar sin darte cuenta y por muchos escaneos que hagas nunca lo encontrará,¿de verdad prefieres eso?, no me lo explico.


ya mencioné con cuales los probé aparte de Avast, si quieres salir de dudas te invito a que te instales los programas y lo hagas tú mismo, yo no tengo que ir demostrando nada a cada comentario y/o defensor de Avast.

Mi crítica no es más infantil que el antivirus que tú usas, a las pruebas me remito.
Te guste o no; AVAST es uno de los peores antivirus que hay en la actualidad.
El hecho de que sea gratuito no influye en el resultado real de que sea mejor o peor, si todo lo gratuito fuera lo mejor...
Lo curioso es que casi todas las personas que usais Avast pareciese que fuese el mejor antivirus del mundo,me parece muy fuerte esto,si yo uso un programa y veo que es bastante inseguro por regla general suelo dejar de usarlo, como hice en su dia con nod32, que de ser mi antivirus preferido a pasar de él y no volverlo a instalarlo nunca más, hay muchísimos antivirus mejores que avast, pero al ser gratuito es el que suele usar la gente, ¿como dejar de lado al unico que no hay que soltar pasta,verdad?

Y por ultimo solo decirte que no eres nadie para mandar a callar a nadie, quizás deberias hacerlo tú, tienes alguna crítica demostrada? algunas pruebas,? has testeado algo en tu vida? lo has compartido con los demás?

Todo el mundo sabe que un buen anti virus debe de estar acompañado por un buen firewall.

Todo el mundo sabe que los firewall estan para saltarselos.
Todo el mundo sabe que un archivo de apenas 100kb puede bloquear un firewall.
Todo el mundo sabe que si el antivirus no detecta el archivo de 100kb el sistema está vendido. :silbar:

Hay cosas que no entiendo:


¿Hacía falta esto? ¿Os paga AVAST para que defendáis su producto?

Alguien viene a comentarnos sus pruebas y salta gente mandándole callar. No lo entiendo. ¿Preferís que el foro de seguridad se llene, con todos mis respetos, de posts estilo: "Quiero Juankear hotmail"?

El "compañero" nos ha explicado algo que, a mi parecer, parece bastante interesante. Qué menos que probar lo que dice. Qué menos que valorar el que lo comparta con nosotros. Qué menos que, por el mero hecho de no estar de acuerdo con su afirmación, NO mandarlo a callar.

En fin...

Saludos.

No es facil saltearse un firewall, si lo fuese, estos no servirían.

Pero no todo el mundo sabe que para bajar un firewall decente, hace falta unhookear apis a nivel kernel. Y eso requiere de un usuario avanzado y drivers diseñados específicamente para cada anti virus.

Dudo mucho que un anti virus no detecte un archivo autoextraible que desempaque un driver lo cargue en memoria y lo utilice para sacar los hooks de las apis a nivel kernel del mismo anti virus.

PD:
Muy fuera de lugar. B€T€B€, estamos argumentando, si no podes argumentar objetivamente y defendiendo tu punto de vista de manera civilizada, no lo hagas.

cierto lo que dices, pero como tu mismo mencionas, alguien con un nivel avanzado lo podria hacer facilmente, la herramienta podría propagarse por la red  rápidamente, lo que mencionas de un driver para cada antivirus no necesariamente podría hacerse solo así,puede darse el caso que bloquera cualquier antivirus y/o firewall sin necesidad de varios drivers específicos para cada aplicación. Pero reitero lo que mencioné antes, cada soft debe hacer su trabajo correctamente sin depender del otro, por que si un firewall no depende del antivirus para las conexiones,tampoco el antivirus debe depender del firewall para detectar y/o bloquear malware.

PD: Arcano y APOKLIPTICO gracias por mediar ante la soberbia de esta persona que provoca desgana de postear y compartir con los demás, realmente me he quedado frio ante el ataque y falta de respeto que puede demostrar una persona sin motivo aparente,gracias a ambos.

un saludo

Digo que debe ser específico porque cada anti virus tiene su manera propia de defenderse, acordate que hace unos años uno podía matar un anti virus con un simple taskkill.
Eso hacia la tarea de infectar una pc mucho mas facil.
Ahora no podés hacer eso ni a palos, ni siquiera podés usar la api openprocess(),yo me acuerdo que había hecho un programa que se salteaba la protección que tenía otro programa contra matar el proceso, inyectando datos aleatorios y haciendo crashear el proceso.

El tema es que en cuanto una herramienta se hace muy popular, ya se buscan medios para contrarrestar dicha herramienta.
Por supuesto, un usuario muy avanzado, conociendo su objetivo, podría experimentar con diversos métodos para hacer indetectable un programa que mate el proceso del anti virus objetivo y el firewall, para luego infectar la pc y dejarla completamente vulnerable.
Pero estamos hablando de cosas muy hard core...

Voy a tener que probar entonces, porque Mcafee y Bitdefender no deberían de decir nada, lo se porque tengo Bitdefender y si no es por el firewall no canta :silbar:

Saludos

Generalmente lo que se hace con una suite de seguridad es intentar saltarse las protecciones de maneras no tan bruscas ya que la idea principal es pasar desapercibido. Agregar excepciones a mano (siempre que se pueda bypassear la protección de las configuraciones), engañar al motor de análisis de la forma que sea posible (signatures, codepaths, etc) suelen ser las formas mas comunes.
Si uno entra en modo kernel no necesariamente tiene que ser para desactivar la suite, mas bien todo lo contrario. Si en ese ámbito se encuentra un posible fallo (hooks mal implementados, por ejemplo) entonces se lo explota y se lo aprovecha, pero desactivar la suite de seguridad es la ultima instancia cuando no quedan otras alternativas, por lo menos para cualquier malware serio.
Igualmente cada caso es un mundo. No es lo mismo comparar Avg Free o Avast con otras suites como Kaspersky o Comodo.

En la mayoria de las suites de seguridad existen errores de diseño que pueden ser explotados. Por esa razón los usuarios siempre tienen que tener en mente que un antivirus/firewall solo es una simple protección mas que si no va acompañada de brain.exe es lo mismo que la nada.

En cuanto a la idea principal del post, es preferible que detecte de mas y no de menos. Si es un falso positivo y es una utilidad que conocemos, se agrega una excepción -dos clicks- y asunto arreglado.

tienes razón, a mi me lo detectó por que la versión de netcat que tengo está comprimida con UPX, acabo de descargar otro netcat y Bitdefender no lo detecta, pido disculpas por mi error.
Lo curioso es que Avast no muestra alarma alguna, esté comprimido o no.
PD: es lo que tiene trabajar con programas con tantos años aparcados en el pc  :xD

un saludo

(http://img259.imageshack.us/img259/3928/netcatupx.th.jpg) (http://img259.imageshack.us/i/netcatupx.jpg/)

Dime tu si el Avast debe o no debe avisar del serv-u
ServU.exe
Submission date:
2010-11-30 05:14:49 (UTC)
Current status:
finished
Result:
1 /42 (2.4%)

Antivirus    Version    Last Update    Result
AhnLab-V3    2010.11.30.00    2010.11.29    -
AntiVir    7.10.14.136    2010.11.29    -
Antiy-AVL    2.0.3.7    2010.11.30    -
Avast    4.8.1351.0    2010.11.29    -
Avast5    5.0.677.0    2010.11.29    -
AVG    9.0.0.851    2010.11.30    -
BitDefender    7.2    2010.11.30    -
CAT-QuickHeal    11.00    2010.11.30    -
ClamAV    0.96.4.0    2010.11.30    -
Command    5.2.11.5    2010.11.30    -
Comodo    6898    2010.11.30    -
Emsisoft    5.0.0.50    2010.11.30    -
eSafe    7.0.17.0    2010.11.29    -
eTrust-Vet    36.1.8007    2010.11.29    -
F-Prot    4.6.2.117    2010.11.29    -
F-Secure    9.0.16160.0    2010.11.30    -
Fortinet    4.2.254.0    2010.11.29    -
GData    21    2010.11.30    -
Ikarus    T3.1.1.90.0    2010.11.30    -
Jiangmin    13.0.900    2010.11.29    -
K7AntiVirus    9.69.3115    2010.11.29    -
Kaspersky    7.0.0.125    2010.11.30    -
McAfee    5.400.0.1158    2010.11.30    -
McAfee-GW-Edition    2010.1C    2010.11.29    -
Microsoft    1.6402    2010.11.29    -
NOD32    5659    2010.11.29    probably a variant of Win32/ServU-Daemon
Norman    6.06.10    2010.11.29    -
nProtect    2010-11-29.01    2010.11.29    -
Panda    10.0.2.7    2010.11.29    -
PCTools    7.0.3.5    2010.11.30    -
Prevx    3.0    2010.11.30    -
Rising    22.76.00.01    2010.11.30    -
Sophos    4.60.0    2010.11.30    -
SUPERAntiSpyware    4.40.0.1006    2010.11.30    -
Symantec    20101.2.0.161    2010.11.29    -
TheHacker    6.7.0.1.093    2010.11.30    -
TrendMicro    9.120.0.1004    2010.11.30    -
TrendMicro-HouseCall    9.120.0.1004    2010.11.30    -
VBA32    3.12.14.2    2010.11.29    -
VIPRE    7451    2010.11.30    -
ViRobot    2010.11.30.4176    2010.11.30    -
VirusBuster    13.6.66.0    2010.11.29    -
Additional information
Show all
MD5   : b8281e121cd893d4bab9c8422d0c021b
SHA1  : 4d036162d211d85b6aa44eae782e01399f1e4488
SHA256: 1825a36cddba11a18be02cea17b97071be68ce00aae21c65c78ea59091895f82

Cryptcat en un super zip :xD

File name:
cryptcat-nt-1.2.1.zip
Submission date:
2010-05-16 19:11:30 (UTC)
Current status:
finished
Result:
0 /40 (0.0%)
   
VT Community

not reviewed
 Safety score: -
Compact
Print results
Antivirus    Version    Last Update    Result
a-squared    4.5.0.50    2010.05.10    -
AhnLab-V3    2010.05.16.00    2010.05.15    -
AntiVir    8.2.1.242    2010.05.14    -
Antiy-AVL    2.0.3.7    2010.05.14    -
Authentium    5.2.0.5    2010.05.15    -
Avast    4.8.1351.0    2010.05.16    -
Avast5    5.0.332.0    2010.05.16    -
AVG    9.0.0.787    2010.05.16    -
BitDefender    7.2    2010.05.16    -
CAT-QuickHeal    10.00    2010.05.15    -
ClamAV    0.96.0.3-git    2010.05.16    -
Comodo    4859    2010.05.16    -
DrWeb    5.0.2.03300    2010.05.16    -
eSafe    7.0.17.0    2010.05.16    -
eTrust-Vet    35.2.7490    2010.05.15    -
F-Prot    4.5.1.85    2010.05.15    -
F-Secure    9.0.15370.0    2010.05.16    -
Fortinet    4.1.133.0    2010.05.16    -
GData    21    2010.05.16    -
Ikarus    T3.1.1.84.0    2010.05.16    -
Jiangmin    13.0.900    2010.05.16    -
Kaspersky    7.0.0.125    2010.05.16    -
McAfee    5.400.0.1158    2010.05.16    -
McAfee-GW-Edition    2010.1    2010.05.16    -
Microsoft    1.5703    2010.05.16    -
NOD32    5118    2010.05.16    -
Norman    6.04.12    2010.05.16    -
nProtect    2010-05-16.01    2010.05.16    -
Panda    10.0.2.7    2010.05.16    -
PCTools    7.0.3.5    2010.05.16    -
Rising    22.47.06.04    2010.05.16    -
Sophos    4.53.0    2010.05.16    -
Sunbelt    6310    2010.05.16    -
Symantec    20101.1.0.89    2010.05.16    -
TheHacker    6.5.2.0.280    2010.05.14    -
TrendMicro    9.120.0.1004    2010.05.16    -
TrendMicro-HouseCall    9.120.0.1004    2010.05.16    -
VBA32    3.12.12.5    2010.05.14    -
ViRobot    2010.5.15.2318    2010.05.15    -
VirusBuster    5.0.27.0    2010.05.16    -
Additional information
Show all
MD5   : c66018cad676a186406621e5f4fb989b
SHA1  : 2921c0ba6aedd3045b12ec558ee112e34eeba33c
SHA256: 1730a28d227db28993c397920d07ac7cc12713dab41d631b46d34cd74237fe4d

Creo que es una irresponsabilidad decir que un antivirus es malo por una prueba tan trucha.

Todos sabemos lo dificil que es desarrollar y mantener un antivirus, en especial apareciendo nuevas amenazas tan seguido y que esto se haga gratis y con el minimo de publicidad  se agradece

Supongo que es un chiste  :P, estas analizando el proyecto pero no el ejecutable . ;-)

File name:

cryptcat.exe
Submission date:

2010-10-04 11:27:53 (UTC)
Current status:

finished
Result:

25 /43 (58.1%)

link (http://www.virustotal.com/file-scan/report.html?id=f17a145aa63e5d1cfa50c8dce96e7b9b2f40229bdbdb67ccdf2b0714294235cd-1286191673)

Se :xD

Pero el exe nod no lo detecta como malware :xD

yo no digo que sea malo, solo que es bastante inseguro
Tú mismo lo confirmas, con una prueba tan trucha el antivirus no pudo frenarla

Madre mia, en vez de reconocer que tu prueba es de risa sigues con esas.

Te digo lo mismo que antes tronco, que lo de ejecutar un servidor FTP como administrador se merece un PIN y poco mas. No demuestra nada.

¿Tu que eres, de eso seguidores de la Homeopatia o que?

File name:
nc.exe
Submission date:
2010-11-30 15:09:09 (UTC)
Current status:
queued (#2) queued (#2) analysing finished
Result:
27/ 43 (62.8%)

Antivirus     Version     Last Update     Result
AhnLab-V3   2010.11.30.01   2010.11.30   Win-AppCare/NTSniff_v111.61440
AntiVir   7.10.14.141   2010.11.30   SPR/NetCat.A
Antiy-AVL   2.0.3.7   2010.11.30   RemoteAdmin/Win32.NetCat.gen
Avast   4.8.1351.0   2010.11.30   -
Avast5   5.0.677.0   2010.11.30   -
AVG   9.0.0.851   2010.11.30   RemoteAdmin.BX
BitDefender   7.2   2010.11.30   -
CAT-QuickHeal   11.00   2010.11.30   Trojan.Agent.WC
ClamAV   0.96.4.0   2010.11.30   PUA.NetTool.Netcat-6
Command   5.2.11.5   2010.11.30   W32/Netcat
Comodo   6902   2010.11.30   ApplicUnsaf.Win32.RemoteAdmin.NetCat
DrWeb   5.0.2.03300   2010.11.30   Tool.Netcat.125
Emsisoft   5.0.0.50   2010.11.30   -
eSafe   7.0.17.0   2010.11.29   Win32.Banker
eTrust-Vet   36.1.8008   2010.11.30   -
F-Prot   4.6.2.117   2010.11.30   W32/Netcat
F-Secure   9.0.16160.0   2010.11.30   Riskware:W32/NetCat.C
Fortinet   4.2.254.0   2010.11.30   HackerTool/Nt110
GData   21   2010.11.30   -
Ikarus   T3.1.1.90.0   2010.11.30   -
Jiangmin   13.0.900   2010.11.30   Trojan/VulnWatch.a
K7AntiVirus   9.69.3123   2010.11.30   -
Kaspersky   7.0.0.125   2010.11.30   not-a-virus:RemoteAdmin.Win32.NetCat.a
McAfee   5.400.0.1158   2010.11.30   Tool-NetCat
McAfee-GW-Edition   2010.1C   2010.11.30   Tool-NetCat
Microsoft   1.6402   2010.11.30   -
NOD32   5661   2010.11.30   Win32/RemoteAdmin.NetCat
Norman   6.06.10   2010.11.29   -
nProtect   2010-11-30.01   2010.11.30   Trojan/W32.Agent.61440.TR
Panda   10.0.2.7   2010.11.29   Hacktool/NetCat.B
PCTools   7.0.3.5   2010.11.30   SecurityRisk.NetCat
Prevx   3.0   2010.11.30   -
Rising   22.76.01.04   2010.11.30   Hack.NetCat.c
Sophos   4.60.0   2010.11.30   NetCat
SUPERAntiSpyware   4.40.0.1006   2010.11.30   -
Symantec   20101.2.0.161   2010.11.30   NetCat
TheHacker   6.7.0.1.093   2010.11.30   Aplicacion/NetCat
TrendMicro   9.120.0.1004   2010.11.30   -
TrendMicro-HouseCall   9.120.0.1004   2010.11.30   -
VBA32   3.12.14.2   2010.11.30   -
VIPRE   7453   2010.11.30   Netcat
ViRobot   2010.11.30.4177   2010.11.30   Not_a_virus:RemoteAdmin.NetCat.61440
VirusBuster   13.6.66.0   2010.11.29   -



File name:
serv-u.exe
Submission date:
2010-11-30 15:11:20 (UTC)
Current status:
queued (#6) queued (#6) analysing finished
Result:
23/ 43 (53.5%)

Antivirus     Version     Last Update     Result
AhnLab-V3   2010.11.30.01   2010.11.30   Backdoor/Win32.ServU-based
AntiVir   7.10.14.141   2010.11.30   APPL/Serv-U.Gen
Antiy-AVL   2.0.3.7   2010.11.30   RiskWare/FTP.Serv-U
Avast   4.8.1351.0   2010.11.30   -
Avast5   5.0.677.0   2010.11.30   Win32:PUP-gen
AVG   9.0.0.851   2010.11.30   ServU.LT
BitDefender   7.2   2010.11.30   -
CAT-QuickHeal   11.00   2010.11.30   -
ClamAV   0.96.4.0   2010.11.30   PUA.Server.ServU-9
Command   5.2.11.5   2010.11.30   W32/HackTool.BVF
Comodo   6902   2010.11.30   ApplicUnsaf.Win32.ServU-Daemon.~S8
DrWeb   5.0.2.03300   2010.11.30   -
Emsisoft   5.0.0.50   2010.11.30   Riskware.Server-FTP.Win32.Serv-U.25.e!IK
eSafe   7.0.17.0   2010.11.29   -
eTrust-Vet   36.1.8008   2010.11.30   -
F-Prot   4.6.2.117   2010.11.30   W32/HackTool.BVF
F-Secure   9.0.16160.0   2010.11.30   -
Fortinet   4.2.254.0   2010.11.30   W32/ServUDmn!tr.bdr
GData   21   2010.11.30   -
Ikarus   T3.1.1.90.0   2010.11.30   not-a-virus:Server-FTP.Win32.Serv-U.25.e
Jiangmin   13.0.900   2010.11.30   -
K7AntiVirus   9.69.3123   2010.11.30   RemoteTool
Kaspersky   7.0.0.125   2010.11.30   not-a-virus:Server-FTP.Win32.Serv-U.25.e
McAfee   5.400.0.1158   2010.11.30   ServU-Daemon
McAfee-GW-Edition   2010.1C   2010.11.30   ServU-Daemon
Microsoft   1.6402   2010.11.30   -
NOD32   5661   2010.11.30   probably a variant of Win32/ServU-Daemon
Norman   6.06.10   2010.11.29   W32/Suspicious_Gen2.XDPI
nProtect   2010-11-30.01   2010.11.30   -
Panda   10.0.2.7   2010.11.30   -
PCTools   7.0.3.5   2010.11.30   -
Prevx   3.0   2010.11.30   Medium Risk Malware
Rising   22.76.01.04   2010.11.30   -
Sophos   4.60.0   2010.11.30   Serv-U
SUPERAntiSpyware   4.40.0.1006   2010.11.30   -
Symantec   20101.2.0.161   2010.11.30   -
TheHacker   6.7.0.1.093   2010.11.30   Aplicacion/Serv-U.25.e
TrendMicro   9.120.0.1004   2010.11.30   -
TrendMicro-HouseCall   9.120.0.1004   2010.11.30   -
VBA32   3.12.14.2   2010.11.30   -
VIPRE   7453   2010.11.30   ServU
ViRobot   2010.11.30.4177   2010.11.30   -
VirusBuster   13.6.66.0   2010.11.29   Trojan.Agent!hf28M1PtB+U


PD: parece que ya están reportando algunos archivos en Avast, por más que lo escaneo no muestra nada sobre el serv-u
PD2: creo que con esto se resuelven tus dudas

Me parto, mi serv-u ha sido bajado de la pagina oficial ahora mismo. El tuyo lo encontrate en el rastro o algo porque no pones ni el checksum :xD

el serv-u que utilicé no lo encontrarás en la web oficial amigo, es una versión muy antigua.
pero si la versión te la está mostrando los antivirus, serv-u 2.5, veo que no eres muy observador

Karpesky es inseguro porque lo puedo desactivar y desinstalar en mi pc como administrador :)

Que antivirus mas infantil y ademas caro

A ver...
Señor "mytnick"...

El Antivirus "Avast" no es inseguro, es inseguro desde tu punto de vista, no detectar un servidor ftp es completamente correcto.

¿Porqué?
Por que simplemente no es un virus y ni otro tipo de Malware.

Netcat, netcat es una herramienta para administradores de red y por lo tanto no es ni un gusano, ni un virus ni un troyano.


Por lo tanto es una completa falacia que "Avast" es inseguro sólo por no detectar unas herramientas de red y un servicio de transferencia de archivos.

Sería dar Falsos positivos y ESO sí es inseguro.


Recuerda siempre pensar en lo que vas a escribir, siempre hay alguién que sabe más que tú.

La mayoría lo detecta como "hack tool", "remote tool", o el nombre que sea. Pero ha sido así toda la vida. Es lo correcto siendo que en la mayoría de los casos no va a ser un usuario que quiera usar el netcat por su cuenta si no un intento de ataque. Quien sepa lo que esta haciendo agregara una excepción, y quien no, por lo menos tiene un aviso.
Kaspersky hoy por hoy es una de las mejores suites de seguridad que existen, e igual lo detecta:
not-a-virus:RemoteAdmin.Win32.NetCat.a.

---

Igual estoy de acuerdo en que esta prueba es demasiado insulsa como para hablar de "inseguridad". Para hablar de inseguridad tendríamos que estar en presencia de algún bypass, de un estudio en donde se demuestre un indice bajo de detección con múltiples muestras, y demás. No tiene sentido darle vueltas al asunto :P

jajajajaja... cuenta otro tio, ese ha sido muy bueno, si eres capaz de desactivar (no desinstalar) Kaspersky  y/o colar algún malware  desde una cuenta administrador serás mi idolo de aquí en adelante, pero con pruebas y no de boquilla

Muchachito, humildad, humildad ;-)

parece que solo hablais del ftp (que es lo de menos en realidad), no dices nada del Radmin, ni de Netcat.
Para el que no lo sepa aún, el serv-u troyanizado se usaba hace mucho años para "hackear", por eso la mayoria de los antivirus dan la alarma, sino por que del escaneo de más arriba casi todos los antivirus lo detectan?? ¿porqué no detectaron ninguno la versión que testeo Torete??


¿que tiene que ver el tocino con la velocidad?

es que si nos ponemos a hablar tonterias y cosas sin pruebas algunas, no se que hacemos todos aquí comentando.

Creo que no llegamos a ninguna parte verdad :xD

*- Análisis a demanda
http://www.av-comparatives.org/images/stories/test/ondret/avc_od_aug2010.pdf
*- Defensa Proactiva
http://www.av-comparatives.org/images/stories/test/ondret/avc_report26.pdf

Puede que en heurística el KAV le de 500 patadas a Avast, pero aún así en esos test se ven más detecciones con menos falsos positivos :-X
Ah, y lo que se refiere a la proactiva de todos, simplemente da pena :xD

Con eso no quiero decir que el Avast sea mejor que los otros, pero a lo que voy es que con ese test que se ve en el primer mensaje no alcanza para tacharlo de inseguro.

Saludos

Buenas!

Che, creo que le estan dando muchas vueltas a esto:

Un antivirus no puede ser tan intrusivo (sean realistas, a esto lo usan en empresas), con el mismo ejemplo se puede decir que Kaspersky o NOD32 no me detectan RealVNC (que es el que uso ahora).....y esta bien! Seguridad y Usabilidad son inversamente proporcionales, y tiene que ser en una justa medida.

Y aca esta lo importante, quizás para algunos es mejor que el antivirus nos interrumpa todo cada dos segundos por cada cosita que queremos hacer (y me imagino que usan windows vista/7 con el UAC en High, con mensajitos por todos lados), y para otros es mejor que no sea tan intrusivo (sobre todo si uno es cuidadoso y sabe lo que hace).

Asi que me parece que esta discusión es muy subjetiva.

P.D: Este thread se volvio un flamewar de opiniones sobre como debería ser un antivirus...y no tiene mucho sentido.
P.D2: Por suerte en el foro de Linux no tenemos que preocuparnos por estas cosas ;D --> no hagan otro flamewar de este comentario, es un chiste nomas para mejorar el ambiente  ;)

Saludos!

De nada :P pero yo estoy diciendo que no defiendan tan ciegamente, ni tampoco que vos ataques a ese producto. Mira este articulo de PCWorld de ayer (en donde dicen que Avast es el mejor de los AVgratis):

http://www.pcworld.com/article/210589/free_vs_fee_free_and_paid_antivirus_programs_compared.html (http://www.pcworld.com/article/210589/free_vs_fee_free_and_paid_antivirus_programs_compared.html)

En el mismo destacan lo siguiente de Avast (ojo, solo las free editions):

.Mejor detección de virus
.Menos falsos positivos
.Mejor para desinfección

Y eso fue según la prueba que hicieron ellos, que evidentemente difiere con la tuya.

Otra cosa, ya que veo que estan hablando de ello: saltearse un antivirus y liquidarlo es algo fácil, cualquier antivirus, lo importante de un antivirus es que te frene las amenazas mas comunes que andan "in the wild", y que no te tire muchos falsos positivos.

En resumen: Esta discusión me parece que no tiene sentido, y es muy subjetiva.

Sean felices, Saludos!

j4np0l yo no ataco a ningún producto, yo solo testeo e intento averiguar los puntos débiles y puntos fuertes que pueda llegar a tener un soft, en su día tambien testeé Nod32 y no por eso significa que lo ataque, esto es un foro de seguridad y lo normal supongo es realizar análisis y comparaciones para poder sacar conclusiones.

el test que mencionas.., mejor en detección de virus, claro siempre y cuando el malware sea el original, porque con una pequeña modificación ya no lo detecta, otros antivirus son más duros de saltearlos aunque sea con modificaciones, te lo digo por experiencia, sobre los falsos positivos, creo que este es un punto bastante delicado, no es lo mismo un falso positivo que un ejecutable cualquiera por el mero hecho de estar comprimido y/o cifrado con algún programa específico de un falso positivo, a muy distinto dar la alarma con alguna herramienta que pueda comprometer el sistema, los mejores antivirus advierten de la peligrosidad incluso detallando de que se trata realmente, si es administración remota,un servidor ftp,hack-tool,spyware o lo que sea.

Las versiones anteriores de Avast, daban muchos falsos positivos, parece que intentaron reparar esto, pero ahora descarta muchas herramientas que pueden resultar peligrosas para el sistema, ni tanto ni tampoco, si tuviera que escoger prefiero que se me advierta del intento de ejecución de un programa potencialmente peligroso, a que haga la vista gorda y no me advierta de nada y llegue a ejecutarlo sin consentimiento.

un saludo