Autor
|
Tema: ¿Por qué es detectada la aplicación? (Leído 4,630 veces)
|
Gato Negro
Desconectado
Mensajes: 25
|
No estoy seguro de si esto debe ir aquí o en seguridad. La cosa es que me aburria y me puse a programa un Fake del Windows Live Messenger para capturar las contraseñas (si, ya se que es un poco lammer, pero me parecía curioso y lo hice como reto personal para ver si conseguía hacerlo, y fue fácil ) y el kaspersky me lo detecta como IM-Worm y me gustaría saber que parte del código detecta como tal y por qué lo detecta como virus. ¿Cómo puedo averiguarlo? Desde ya muchas gracias!
|
|
|
En línea
|
|
|
|
~~
|
Pues sin ver algo de codigo dificil q lo sepamos xD posilemente se autocopiará en el form load o se añadirá al reg o algo por el estilo.. pones el form load al menos
|
|
|
En línea
|
|
|
|
Gato Negro
Desconectado
Mensajes: 25
|
El problema es que ya no tengo el código porque tuve que formatear y lo perdí, tan solo conservo el ejecutable. El fake lo hice tomando imágenes del MSN original y lo único que hace es guardar en un archivo de texto lo que se escribe en los cuadros de texto de contraseña y cuenta, abre las páginas que aparecen en la parte de abajo del MSN original si se pulsa sobre ellas y cuando se intenta iniciar sesión muestra un mensaje de error, se cierra y abre el MSN original.
Si hace falta algo mas trataré de reescribir el código y lo pongo, gracias!
|
|
|
En línea
|
|
|
|
juancho77
Desconectado
Mensajes: 455
rie con demencia
|
jaja perdiste el codigo amigo?
|
|
|
En línea
|
|
|
|
Gato Negro
Desconectado
Mensajes: 25
|
Así es . Ya se que puede parecer que no he sido yo el que ha creado el Fake, pero que le vamos a hacer . Lo hice bastante chapucero porque apenas sé programar en VB, estoy aprendiendo, y lo que hice fue tomar capturas de cada botón del MSN original por ej: botón iniciar sesión, botón iniciar sesión con el mouse encima (Evento MouseMove) y botón iniciar sesión pulsado (Evento MouseDown) y así con todos . Puedo volver a escribir el código, pero a parte de que es bastante laborioso por lo de tomar cada imágen y tal (no sé hacerlo aún de otra forma, que supongo que la habrá), no quiero el programa para nada y me parece una pérdida de tiempo. Respecto al tema principal, lo de por qué es detectada, ¿alguien tiene idea de por qué lo detecta como IM-Worm? ¿Puede ser porque el programa al "iniciar sesión" y saltar el mensaje de error, ejecuta el MSN original? De nuevo, muchas gracias por vuestra ayuda.
|
|
|
En línea
|
|
|
|
~~
|
Pues ni idea, por lo q dices q tiene no deberia ser detectado, por q lo unico q haces es guardar el contenido de 2 textbox en un archivo y luego ejecutar otro... eso no deberia ser detectado, a no ser q se lo hayas pasado a MUCHA gente y lo hayan usado mucho y los av's lo hayan detectado..
|
|
|
En línea
|
|
|
|
Gato Negro
Desconectado
Mensajes: 25
|
Tan solo se lo pasé a un amigo para comprobar si funcionaba bien, lo usó unas 5 veces y después lo eliminé. Podría ser ese el motivo, pero lo dudo porque lo usó eso, 5 veces y no lo detecto su AV (Nod32). Además el Nod32 no es el AV que lo detecta, el que lo detecta es el KIS7. ¿Puede ser porque guarda el contenido de un textbox que muestra asteriscos cuando se escribe en él?
EDITO: ¿Subo el programa para que lo veais?
Ahora que lo pienso, ¿es posible que estando en el ordenador de mi amigo algun virus lo haya modificado y por eso ponga lo de IM-Worm?
|
|
« Última modificación: 15 Febrero 2008, 20:05 pm por Gato Negro »
|
En línea
|
|
|
|
~~
|
No, xD mira un ejemplo simple q no es detectado: Private Sub Command1_Click() Open "C:\log.txt" For Binary As #1 Put #1, , Text1.Text & Text2.Text Close #1 msgbox ' El mensaje de error shell ' Ejecutas el msn End Sub
Private Sub Form_Load() Text2.PasswordChar = "*" End Sub
Ala, eso es todo lo q hay q hacer, si el code es tan simple como eso no te lo deberian detectar Si no podemos ver el code, pues no vamos a adivinar q le pasa xD Salu2
|
|
|
En línea
|
|
|
|
juancho77
Desconectado
Mensajes: 455
rie con demencia
|
IM-Worm significa Instant Messaging (o messenger) Worm, por lo que supongo que el comportamiento de software como el que vos creaste ya ha sido estudiado y clasificado. Es decir, Por ser una accion comun entre estos virus, te la bloquea y reconoce como IM-Worm. Hay mas, pero basicamente es eso. Aca tenes informacion (ingles): http://www.wormblog.com/im_worms/Y aca algo mas http://www.viruslist.com/sp/spam/analysis?pubid=189349406Saludos
|
|
|
En línea
|
|
|
|
Gato Negro
Desconectado
Mensajes: 25
|
Pero, ¿qué propiedad debe tener la aplicación para que sea detectada como IM-Worm? El fake que yo he hecho no hace nada fuera de lo normal, tan solo guarda el contenido de 2 textbox, abre las páginas de la parte de abajo, ejecuta el MSN original al terminar con su cometido, y tiene un montón de imágenes del MSN para todos los botones . Lo único que creo que puede hacer que sea detectado es lo de que ejecute el MSN original, ya que no modifica el registro ni hace nada, no se que podrá ser.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Atheros AR 9285 no es detectada. AYUDA POR FAVOR!!
Wireless en Linux
|
estepeño
|
3
|
4,168
|
8 Diciembre 2010, 21:29 pm
por ChimoC
|
|
|
Detectada una vulnerabilidad en VLC
Noticias
|
wolfbcn
|
0
|
1,567
|
1 Febrero 2011, 02:52 am
por wolfbcn
|
|
|
Detectada vulnerabilidad en dispositivos ubiquiti
Materiales y equipos
|
HdM
|
0
|
8,969
|
20 Diciembre 2011, 20:29 pm
por HdM
|
|
|
Detectada una vulnerabilidad en el sitio web de Whatsapp
Noticias
|
wolfbcn
|
2
|
2,231
|
13 Septiembre 2012, 22:46 pm
por Servia
|
|
|
Broadcom802.11n No detectada.
Hacking Wireless
|
Webi
|
2
|
2,501
|
22 Marzo 2013, 18:33 pm
por rivers759
|
|