Wenas a todos!
Viendo los reportes de virusnothanks que andan apareciendo ahora me ha dado por scanear mi server con el Multi-Engine Scanner y resulta que me lo detectan nada más que CUATRO antivirus!
File Info
Report generated: 22.1.2010 at 15.40.36 (GMT 1)
Filename: svchost.exe
File size: 266424 bytes
MD5 hash: 28dadc95537f1ec96688afaf463afcaf
SHA1 hash: D195C7649C892EE586713338A91DB5E84AA2C578
Detection rate: 4 on 24
Status: INFECTED
Detections
a-squared - -
Avira AntiVir - TR/Crypt.FKM.Gen
Avast - -
AVG - -
BitDefender - Gen:Trojan.Heur.qm1@Xqk1Qthi
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - W32/VB-Backdoor-PSVR-based!Maximus
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 v3 - -
Norman - -
Panda - -
QuickHeal - -
Solo Antivirus - -
Sophos - Mal/Behav-035
TrendMicro - -
VBA32 - -
VirusBuster - -
ZonerAntivirus - -
Scan report generated by
NoVirusThanks.org
¿Cómo hacer para saltarse la heurística?
PD: Los strings ASCII del ejecutable son lo más cantoso, tienen en cuenta estos strings los antivirus?
Si hay un par de strings concretos en un ejecutable lo declara como troyano¿ (por ejemplo si existe "Server" "Remote" y "KeyLogger" meterlo en alerta roja y asi??)
y Se conservan los nombres de las variables?
No tendría que codificarlos el compilador?? Por ejemplo con números?
Puedo admitir que es el server más DETECTABLE de todos los que habéis visto, tampoco me he dedicado a ello en esencia.. (eso me digna ) pero no puedo negar que me ha bajado la moral bastante.. mucho
Hacer este scan ha sido mi perdición, agradecería que aclarárais las dudas genios!!