|
Título: Alguien me dice con que esta protegido este programa exe Publicado por: darkisel en 17 Febrero 2022, 16:24 pm Hola alguien me puede ayudar Estoy intentando descompilar con dnSpy pero no me sale nada :C cuando lo depuro con dnspy hasta deja de funcionar y estoy viendo con que esta protegido pero no logro encontrar nada.!! luego ya no se quiere ejecutar y me muestra la advertencia
(https://i.postimg.cc/KjG99pLN/gggggggggggggggggggg.jpg) SI ALGUIEN QUIERE VER EL ARCHIVO LO DEJO ACA : Citar hXXps://www.mediafire.com/file/av7s8zl9f83ut4b/Nueva+carpeta.rar/file MOD: URL modificada para evitar descargas de malware Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: MCKSys Argentina en 17 Febrero 2022, 19:10 pm Hola!
Lo que has subido es un programa hecho en Delphi y que es malware: https://www.virustotal.com/gui/file/dbdb54c3177452f7e60c57d1e5fdda488c64e8061121707fa6721a9491c4b185/detection (https://www.virustotal.com/gui/file/dbdb54c3177452f7e60c57d1e5fdda488c64e8061121707fa6721a9491c4b185/detection) Deberías ejecutado en un entorno controlado (VM). Saludos! Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: darkisel en 17 Febrero 2022, 23:00 pm El archivo esta creado en C# y no es malware
Así detecta virus total por que es un programa que modifica los codigos de un juego.! todo programa que altera algo el anti virus lo detecta como virus Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: **Aincrad** en 18 Febrero 2022, 02:30 am Bien Primero que todo.
Esta hecho en Borland Delphi y si no lo esta, entonces puede que este Empaquetado y posiblemente el packer si esta en delphi. En esta caso , tienes que Dumpear . Edito; Esta empacado y es un virus + cheat El verdadero cheat lo extrae en la carpeta temporal de windows. Mientras que tambien te instala un virus. El cheat es para el juego "Valorant" al parecer un Triggerbot (basicamente autofire para los fps) En pocas palabras debes de Dumpearlo y/o ejecutarlo en una VM, y el cheat lo buscaras en el directorio %temp% . (que posiblemente si este en c#) el empaquetador , no se la verdad cual uso, pero una cosa es segura, esta en Delphi. En ultima instancia, no necesariamente tiene que ser un Packer, también esta la posibilidad que tu maquina (o de donde sea que hayas sacado el .exe) , este infectada con algún virus que infecte los demás ejecutables empacandolos para así propagarse. Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: Serapis en 18 Febrero 2022, 03:41 am Peor aún, el reporte del enlcace que envía MCKSys Argentina, revela que el primer envío y detección de dicho virus data de: First Submission 2022-02-17 18:01:31 UTC
Es decir que antes de tú dar el enlace ese virus no constaba. Luego o lo has creado tú o lo has sacado de una 'máquina del tiempo' (la fecha dice datar de 1992, pero es algo fácilemtne falsificable), y en este caso para qué resucitar un software tan viejo?. Estimando ciertos los datos que arroja **Aincrad** que se trata del juego Valorant, que según wikipedia salió al mercado en 2020, no cuadra con la fecha de 1992, con lo que la 'aguja' te señala aún más a tí como el posible creador del virus. Si simplemente te lo has bajado de alguna parte está recién salido del horno y ... entonces está claro que te has infectado. Toma las acciones necesarias. Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: darkisel en 18 Febrero 2022, 06:09 am El archivo esta creado en C# y no es malware Así detecta virus total por que es un programa que modifica los codigos de un juego.! todo programa que altera algo el anti virus lo detecta como virus Hola amigo.! si me fije Que muestra como archivo temporales en el proceso que es ._cache_xanax pero revise bien en archivos temporales y no me crea ningún archivo en propiedades indica la C:\Users\anglez\Desktop\Nueva desde donde se ejecuto el programa Bueno voy a seguir buscando información EDITO: Si encontré el archivo con winrar en temporal pero es el mismo archivo mismo tamaño solo cambia de nombre Cache T_T Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: **Aincrad** en 18 Febrero 2022, 23:30 pm Como dije antes dumpea , seguro se clona el mismo pero ejecuta un punto de entrada diferente, si carga algo en la memoria , debería salir , te ayudaría pero no tengo VM. y no me especializo en reversing.
Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: 0x22 en 14 Marzo 2022, 20:02 pm Felicidades! Tu pc ya pertenece a una botnet!
Título: Re: Alguien me dice con que esta protegido este programa exe Publicado por: apuromafo CLS en 17 Marzo 2022, 01:30 am 1) el programa que enviaste no está protegido, está infectado, que es distinto: posee un rat (remote access tool), el analisis de virustotal te lo puede confirmar hasta que correos le manda la información (smtp) y de donde quería bajar mas archivos.
Sin embargo igual hace alusión al tema real que indicas: 2) el archivo que baja y conecta en discord, es el siguiente Código: cdn.discordapp.com:443/attachments/930660321293664318/941817175688216616/valtrigger.exe si abordas con dnspy este archivo, confirmarás que no está ofuscado ni empacado. Saludos Cordiales Apuromafo nota:creo que con todo lo dicho ya se abordó lo necesario. |