 Autor
|
Tema: Descargué un virus? (Leído 3,673 veces)
|
Aesio92
 Desconectado
Mensajes: 2
|
Tengo un problema Estaba buscando un mod para un juego llamado Minecraft, y encontré un link con un archivo .exe que supuestamente era para descargar el mod, pero cuando terminó la descarga no me apareció nada y estoy preocupado Probé algunos programas para analizar para malwares y cosas así y no encontró nada, pero quería asegurarme Este es el link que abrí para descargar hxxps://modsfire.download/mo-creatures.html Mejor no lo abran por si acaso, pero quería ver si alguien que sepa del asunto pueda analizar el programa o algo  PD: Tengo un pc portatil windows 10
|
|
|
|
« Última modificación: 15 Febrero 2020, 02:22 am por r32 »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.397
Turn off the red ligth
|
He probado el link, y me genera un .jar, que es para Android. Lo cual es rarete que me de una versión para Android de un mod para PC de minecraft. No me lo he descargado para mirarlo porque estoy sin datos. https://cdndownloadsf.com/dl/?z=4189&name=MoCreatures&file=https://modsfire.download/files/uploads/DrZharks%2BMoCreatures%2BMod-12.0.5.jarCuanto menos es raro. Cuanto pesa el .exe? Deberías subir exactamente el .exe que te descargaste tú. Aunque una vez ejecutado, vete tu a saber si se autoremplazó. No creo que fuesen tan listos o se tomasen tanta molestia.
|
|
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖  |
|
|
|
r32
|
Desde VM no se deja descargar, redirecciona a ésta URL: hxxp://trafficbounce.net/?sub=68475&aut=p_senc569&amc=1 Desde windows 10 si que se descarga el ejecutable, pesa 2 MB: hxxps://installgrizzly.net/shell/get/down.php?&vrs=ten&file=&qs1=MoCreatures Desde windows 7: hxxps://installgrizzly.net/shell/get/down.php?&vrs=three&file=&qs1=MoCreatures VT: https://www.virustotal.com/gui/file/13bd3a012937989dacb44858b121c028261136f89c4de17ccb6f4572a35e6536/detectionBajo VM con XP da error de aplicación valida, mañana miraré de ejecutarlo en un pc con windows 7, a ver como se comporta... El RDG y PEiD da positivo en Visual.net, aPLib y detecta debugger. Saludos. |
|
|
|
|
En línea
|
|
|
|
|
apuromafo CLS
|
en general es un programa con muchas condiciones, no infecta asi sin más, debe tener acceso a regedit, una ruta de cmd y haber estado mas menos sincronizado con la falsa de 12 posibles buenas herramientas de seguridad
si usas google "wemonetize" , podras tener informacion de lo que es su intención de fondo
1) tiene comportamiento de malware
2) basta cerrar en la x de arriba y no hará nada, es un setup, necesita terminar el proceso para instalar
3) es ideal no fastidiar tanto, tiene capacidad de escribir en regedit, ejecutar webclientes para conectarse segun la información que le permita, cifrado en base64 + algo similar a aes/rc4
4) tiene mas menos 2 flujos, cuando lo atachean y cuando no, hay que leer bien el programa, tiene mas menos 3 flujos posibles , (posiblemente uno de esos 3 funciona como rat, el otro como bajador de publicidad y el otro como una tool de ayuda a gestionar links mas alguna cosa de más)
Saludos Cordiales Apuromafo
pd: para analizarlo sugiero uso de any.run, uso de dnspy, no está cifrado
pd2: de los setup, tiene todas las imagenes de los setup, pensarás que estás instalando el setup correcto, pero estarás gestionando lo del programa..cuidado con eso...
pd3: es interesante que tiene interaccion de pregunta y respuesta, manejo de bajar un programa abrirlo y además eliminarlo...te parece un comportamiento normal?
|
|
|
|
|
En línea
|
Apuromafo
|
|
|
Aesio92
Desconectado
Mensajes: 2
|
en general es un programa con muchas condiciones, no infecta asi sin más, debe tener acceso a regedit, una ruta de cmd y haber estado mas menos sincronizado con la falsa de 12 posibles buenas herramientas de seguridad
si usas google "wemonetize" , podras tener informacion de lo que es su intención de fondo
1) tiene comportamiento de malware
2) basta cerrar en la x de arriba y no hará nada, es un setup, necesita terminar el proceso para instalar
3) es ideal no fastidiar tanto, tiene capacidad de escribir en regedit, ejecutar webclientes para conectarse segun la información que le permita, cifrado en base64 + algo similar a aes/rc4
4) tiene mas menos 2 flujos, cuando lo atachean y cuando no, hay que leer bien el programa, tiene mas menos 3 flujos posibles , (posiblemente uno de esos 3 funciona como rat, el otro como bajador de publicidad y el otro como una tool de ayuda a gestionar links mas alguna cosa de más)
Saludos Cordiales Apuromafo
pd: para analizarlo sugiero uso de any.run, uso de dnspy, no está cifrado
pd2: de los setup, tiene todas las imagenes de los setup, pensarás que estás instalando el setup correcto, pero estarás gestionando lo del programa..cuidado con eso...
pd3: es interesante que tiene interaccion de pregunta y respuesta, manejo de bajar un programa abrirlo y además eliminarlo...te parece un comportamiento normal?
Es que no sé mucho de estas cosas Eso significa que podría ser un virus?
|
|
|
|
|
En línea
|
|
|
|
|
apuromafo CLS
|
pues, lo que es claro, es que no es un instalador de un pluggin de minecraft
se asocia al concepto de malware, o programa mal intencionado, no mas, no menos
si quieres llamarle virus, dejemoslo que es como virus, para tu pc, lo desinstalas y con un buen firewall, no deberia darte problemas.
Saludos Cordiales
Apuromafo
Pd: posiblemente podriamos estudiar con dnspy esta herramienta y ver mas en una maquina virtual, pero claramente no es lo que aparenta ser...(setup de programas con buen sentido), sino mas bien un instalador base de videos que abren tiempo o espacio a ejecutar comandos de cdm, msi y mas...
|
|
|
|
|
En línea
|
Apuromafo
|
|
|
|
 |
