Totalmente de acuerdo, bueno, creo que es algo que resulta obvio para cualquiera, aunque de todas formas en la V.M probé casi todas las características de la app (todos los botones, haciendo escaneos y modificando opciones), pero tal vez no debí decir "Está totalmente limpio" ya que cómo tu has comentado, solamente observando ese código fuente que nunca se llegó a compartir podriamos salir de dudas sobre si realmente está infectado o no... ya que el autor del programa podría ejecutar un código malicioso al cumplirse "X" condición en la aplicación, quien sabe lo que realmente hará...

A mi sinceramente me da igual la reputación que una persona tenga si esa persona hace las cosas de esta manera tan... (prefiero no decir nada más), pero es que me mosqueo, estás cosas me mosquean mucho de verdad, por que, para mi, publicar programas gratuitos sin compartir el código fuente no es nada respetable, en absoluto, solo genera negatividad y más cuando se trata de un programa de esta temática.

---

Cabe mencionar que además es facilísimo encontrar snippets de diversos anti-sandboxes para muchos lenguajes de programación, esto quiere decir que si el autor del programa quisiera entonces no tendría más que googlear un poco y hacer un copy/paste (o desarrollarlo por si mismo) para añadirle ese tipo de protección o evasión de detección, pero que le vamos a hacer...

De todas formas, también cabe mencionar que generalmente un código anti-sandbox (o packers con características anti-sandbox) se utilizan directamente para denegar la ejecución de la aplicación (para que no corra la app en una V.M), no se suele utilizar arbitrariamente "en mitad de la aplicación", pero bien podría ser, ya que dependería de las intenciones del autor.

---

Me parece genial la información que has aportado para dar a conocer varios detalles importantes a los usuarios, y así hacer saber también que mi análisis no es del todo fiel, probablemente ningún análisis de nadie sería concluyente al 100%, estas cosas nunca parecen serlo.

PD: Y que no hayas sido ofensivo, se agradece todavía más si cabe. Sin sarcasmo.

Saludos!

Yo directamente propongo de nuevo que se añada la regla de "Al publicar un programa que sea de tu propiedad, debes compartir también el código fuente.", en el CAREN, o en su defecto al foro de Análisis y diseño de Malware.

Por el sentido común, y el bien estar global de los usuarios más inexpertos o más inocentes.

Saludos!

El programa de RDG Malware Detector parece estar limpio.

El siguiente análisis fue llevado a cabo en una máquina virtual con Windows 7 x64, con las siguientes herramientas:

• RegShot 2 (Unicode Mod)
• Moo0 File Monitor
• Process Monitor (Sys Internals)
  +
• Anubis

---

· Registry Monitor (claves modificadas):

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\CryptSvc]
"Start"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CryptSvc]
"Start"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS\Diag\System Writer]

Simplemente se modifica el tipo de inicio del servicio criptográfico de Windows.

---

· File Monitor (archivos expandidos):

Es un archivo temporal binario con nombre único (es decir, variante cada vez que se inicie la aplicación) ccon un tamaño de 64 kilobytes.

---

· API Monitor:
Todo me parece normal.
http://pastebin.com/6JpNM8ea
(prio32.dll, prio.ini, tienen que ver con una aplicación que tengo instalada para priorizar ciertos parámetros de las aplicaciones)

Faltaría un análisis más avanzado y elaborado sobre esto, un API Spy con otras herramientas que tengo pero me llevaría más tiempo y dedicación.

---

· Análisis exhaustivo de Anubis:

Empaqueté el programa en un SFX por que de lo contrario el análisis iba a ser en vano al requerir muchos archivos adicionales que no podía subir al mismo tiempo.

Reporte: https://anubis.iseclab.org/?action=result&task_id=1ec19b2f51ea76e948124f41380f4c625

El análisis de procesos activos y conexiones establecidas, es decir, cero y cero, están ahí.

Saludos!

¡Pero dinos el nombre de la "vara"!

Recuerdo haberla visto en alguna película de acción con Tom Cruise, tal vez siendo la mujer de él en alguna de misión imposible...

Saludos!

Con la aplicación que antes mencionaste, OVTR (Open Visual Trace Route) también puedes hacerlo, si te fijas bien verás que tiene una opción de Sniffer, que cambia por completo el modo de empleo de la aplicación, para llevar a cabo el filtrado y análisis de los paquetes de tu red.

Saludos!

Parece que me hayas leido la mente, justamente estaba editando el post para mencionarla.

Tú si que sabes .

PD: A este hilo le falta nada para que venga algún Troll a publicar fotos de vaginas bien peludas y abiertas, o peor todavía, ¡fotos de penes!.

Saludos!

Que comentario más discrminatorio, se merece un Ban.




Saludos Rando!

Antes de nada:

Está prohibido el doble post.

---

En Batch, al ser un lenguaje tan limitado, se convierte en algo más complejo (o mejor dicho, TEDIOSO) que lo que estás haciendo.

Te he escrito el siguiente ejemplo funcional.

Cabe mencionar que el procesado del texto es lento (muy lento) ya que el texto se itera dos veces, la primera iteración es para obtener las lineas "TOTALES DE LA TERMINAL XXXXX  :", y en la segunda iteración, para formatear la salida del texto, cada linea debe pasar por la entrada de la aplicación "Find.exe" (dos veces) para acondicionar el formato, entonces, la constante ejecución de Find.exe lo vuelve lento;
Con pequeños archivos no pasa nada, pero si son archivos de miles de lineas entonces notarás que puede llegar a tardar minuto(s) (más si activases el echo en esa iteración, en lugar de redirigir la salida al archivo).

Es algo irremediable. En cualquier otro lenguaje esta tarea sería algo mucho más eficiente.

@Echo OFF & Title Plantilla Batch por defecto by Elektro
 
Setlocal EnableDelayedExpansion
 
Set "sourceTextFile=%CD%\1.txt"
Set "targetTextFile=%CD%\New.txt"
 
:: Crear una variable dinámicada por cada linea "TOTALES DE LA TERMINAL XXXXX  :"" encontrada.
For /F "Tokens=* Delims=" %%a In ('Type "%sourceTextFile%" ^| Find /I "Totales"') Do (
	Set /A "matchIndex += 1"
	Set "var!matchIndex!=%%~a"
)
 
:: Iterar las lineas del archivo.
Set /A "varIndex += 1"
(For /F "UseBackQ Tokens=* Delims=" %%a In ("%sourceTextFile%") Do (
 
	(Echo "%%~a" | Find /I "TOTALES DE LA TERMINAL")1>NUL 2>&1 && (
		Set /A "varIndex += 1"
	) 
 
    REM Elimina esta condicioón si quieres que también se escriban lineas cómo esta:
    REM TOTALES DE LA TERMINAL 02602  :TOTALES DE LA TERMINAL 02602  :
	(Echo "%%~a" | Find /I "TRANSACCION")1>NUL 2>&1 && (
		Call Echo %%var!varIndex!%%%%~a
	) 
 
))>"%targetTextFile%"
 
Pause&Exit /B 0

Resultado de ejecución:

Saludos!

Mientras el programa no tenga código fuente, este es su lugar.

Ahora, pido por favor que tampoco se emparanoyen ni empiecen a acusar sin pruebas sobre que este programa es para infectarles, ese tipo de acusación requiere pruebas.

Cualquier persona que tenga la suficiente experiencia puede cojer el exe y analizarlo, no me refiero a analizarlo en un multi-antivirus ya que eso es un análisis inconcluyente, sino a monitorizar las acciones del binario, las conexiones entrantes/slaientes (si alguna), las modificaciones en el registro (si alguna), los archivos expandidos (si alguno), y las llamadas a las funciones de Windows, no es dificil pero si tedioso.

Llegados a este punto considero que es el autor del programa quien debería conceder la oportunidad de proporcioanr por si mismo los resultados sobre ese tipod e análisis (a falta del código fuente), pero bueno, tampoco está obligado a hacerlo. Si este asunto genera más desconfianza entre los usuarios de elhacker.net, y si lo consideran necesario, entonces pidánmelo por privado y ya le hago un chequeo yo para publicar los resultados del análisis.

EDITO:
Análisis:
http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/reclamo_posible_virus_y_el_autor_solo_responde_en_forma_negativa-t437804.0.html;msg2023984#msg2023984

---

RDGMax, respecto a tu queja sobre mis acciones o sobre las acciones que tomen otros moderadores, prefiero ni responderte. Es notable el ambiente negativo que ha causado hacer las cosas de la manera en la que se han hecho, esta desconfianza no la he provocado yo, ni ningún otro usuario o moderador.

PD: Gracias por compartir.

Saludos.