elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  ¿Por qué es detectada la aplicación?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: ¿Por qué es detectada la aplicación?  (Leído 4,669 veces)
Gato Negro

Desconectado Desconectado

Mensajes: 25


Ver Perfil
¿Por qué es detectada la aplicación?
« en: 11 Febrero 2008, 21:47 pm »

No estoy seguro de si esto debe ir aquí o en seguridad. La cosa es que me aburria y me puse a programa un Fake del Windows Live Messenger para capturar las contraseñas (si, ya se que es un poco lammer, pero me parecía curioso y lo hice como reto personal para ver si conseguía hacerlo, y fue fácil  ;D) y el kaspersky me lo detecta como IM-Worm y me gustaría saber que parte del código detecta como tal y por qué lo detecta como virus. ¿Cómo puedo averiguarlo?

Desde ya muchas gracias!


En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: ¿Por qué es detectada la aplicación?
« Respuesta #1 en: 11 Febrero 2008, 22:52 pm »

Pues sin ver algo de codigo dificil q lo sepamos xD posilemente se autocopiará en el form load o se añadirá al reg o algo por el estilo.. pones el  form load al menos ;)


En línea

Gato Negro

Desconectado Desconectado

Mensajes: 25


Ver Perfil
Re: ¿Por qué es detectada la aplicación?
« Respuesta #2 en: 15 Febrero 2008, 13:22 pm »

El problema es que ya no tengo el código porque tuve que formatear y lo perdí, tan solo conservo el ejecutable.
El fake lo hice tomando imágenes del MSN original y lo único que hace es guardar en un archivo de texto lo que se escribe en los cuadros de texto de contraseña y cuenta, abre las páginas que aparecen en la parte de abajo del MSN original si se pulsa sobre ellas y cuando se intenta iniciar sesión muestra un mensaje de error, se cierra y abre el MSN original.

Si hace falta algo mas trataré de reescribir el código y lo pongo, gracias!
En línea

juancho77


Desconectado Desconectado

Mensajes: 455


rie con demencia


Ver Perfil
Re: ¿Por qué es detectada la aplicación?
« Respuesta #3 en: 15 Febrero 2008, 18:17 pm »

jaja perdiste el codigo amigo?  :rolleyes:
En línea

Gato Negro

Desconectado Desconectado

Mensajes: 25


Ver Perfil
Re: ¿Por qué es detectada la aplicación?
« Respuesta #4 en: 15 Febrero 2008, 19:19 pm »

Así es  :xD. Ya se que puede parecer que no he sido yo el que ha creado el Fake, pero que le vamos a hacer  :xD. Lo hice bastante chapucero porque apenas sé programar en VB, estoy aprendiendo, y lo que hice fue tomar capturas de cada botón del MSN original por ej: botón iniciar sesión, botón iniciar sesión con el mouse encima (Evento MouseMove) y botón iniciar sesión pulsado (Evento MouseDown) y así con todos  :xD.
Puedo volver a escribir el código, pero a parte de que es bastante laborioso por lo de tomar cada imágen y tal (no sé hacerlo aún de otra forma, que supongo que la habrá), no quiero el programa para nada y me parece una pérdida de tiempo.
Respecto al tema principal, lo de por qué es detectada, ¿alguien tiene idea de por qué lo detecta como IM-Worm? ¿Puede ser porque el programa al "iniciar sesión" y saltar el mensaje de error, ejecuta el MSN original?

De nuevo, muchas gracias por vuestra ayuda.
En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: ¿Por qué es detectada la aplicación?
« Respuesta #5 en: 15 Febrero 2008, 19:33 pm »

Pues ni idea, por lo q dices q tiene no deberia ser detectado, por q lo unico q haces es guardar el contenido de 2 textbox en un archivo y luego ejecutar otro... eso no deberia ser detectado, a no ser q se lo hayas pasado a MUCHA gente y lo hayan usado mucho y los av's lo hayan detectado..
En línea

Gato Negro

Desconectado Desconectado

Mensajes: 25


Ver Perfil
Re: ¿Por qué es detectada la aplicación?
« Respuesta #6 en: 15 Febrero 2008, 19:45 pm »

Tan solo se lo pasé a un amigo para comprobar si funcionaba bien, lo usó unas 5 veces y después lo eliminé. Podría ser ese el motivo, pero lo dudo porque lo usó eso, 5 veces y no lo detecto su AV (Nod32). Además el Nod32 no es el AV que lo detecta, el que lo detecta es el KIS7. ¿Puede ser porque guarda el contenido de un textbox que muestra asteriscos cuando se escribe en él?

EDITO: ¿Subo el programa para que lo veais?

Ahora que lo pienso, ¿es posible que estando en el ordenador de mi amigo algun virus lo haya modificado y por eso ponga lo de IM-Worm?
« Última modificación: 15 Febrero 2008, 20:05 pm por Gato Negro » En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: ¿Por qué es detectada la aplicación?
« Respuesta #7 en: 15 Febrero 2008, 20:07 pm »

No, xD mira un ejemplo simple q no es detectado:

Código:
Private Sub Command1_Click()
Open "C:\log.txt" For Binary As #1
 Put #1, , Text1.Text & Text2.Text
Close #1
msgbox ' El mensaje de error
shell ' Ejecutas el msn
End Sub

Private Sub Form_Load()
Text2.PasswordChar = "*"
End Sub

Ala, eso es todo lo q hay q hacer, si el code es tan simple como eso no te lo deberian detectar ;)
Si no podemos ver el code, pues no vamos a adivinar q le pasa xD

Salu2
En línea

juancho77


Desconectado Desconectado

Mensajes: 455


rie con demencia


Ver Perfil
Re: ¿Por qué es detectada la aplicación?
« Respuesta #8 en: 15 Febrero 2008, 20:10 pm »

IM-Worm significa Instant Messaging (o messenger) Worm, por lo que supongo que el comportamiento de software como el que vos creaste ya ha sido estudiado y clasificado. Es decir, Por ser una accion comun entre estos virus, te la bloquea y reconoce como IM-Worm. Hay mas, pero basicamente es eso.
Aca tenes informacion (ingles): http://www.wormblog.com/im_worms/
Y aca algo mas http://www.viruslist.com/sp/spam/analysis?pubid=189349406
Saludos
En línea

Gato Negro

Desconectado Desconectado

Mensajes: 25


Ver Perfil
Re: ¿Por qué es detectada la aplicación?
« Respuesta #9 en: 16 Febrero 2008, 20:56 pm »

Pero, ¿qué propiedad debe tener la aplicación para que sea detectada como IM-Worm?
El fake que yo he hecho no hace nada fuera de lo normal, tan solo guarda el contenido de 2 textbox, abre las páginas de la parte de abajo, ejecuta el MSN original al terminar con su cometido, y tiene un montón de imágenes del MSN para todos los botones  :xD.
Lo único que creo que puede hacer que sea detectado es lo de que ejecute el MSN original, ya que no modifica el registro ni hace nada, no se que podrá ser.
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Atheros AR 9285 no es detectada. AYUDA POR FAVOR!!
Wireless en Linux
estepeño 3 4,177 Último mensaje 8 Diciembre 2010, 21:29 pm
por ChimoC
Detectada una vulnerabilidad en VLC
Noticias
wolfbcn 0 1,573 Último mensaje 1 Febrero 2011, 02:52 am
por wolfbcn
Detectada vulnerabilidad en dispositivos ubiquiti
Materiales y equipos
HdM 0 8,977 Último mensaje 20 Diciembre 2011, 20:29 pm
por HdM
Detectada una vulnerabilidad en el sitio web de Whatsapp
Noticias
wolfbcn 2 2,251 Último mensaje 13 Septiembre 2012, 22:46 pm
por Servia
Broadcom802.11n No detectada.
Hacking Wireless
Webi 2 2,507 Último mensaje 22 Marzo 2013, 18:33 pm
por rivers759
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines