elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  [Duda] sobre un Proceso
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Duda] sobre un Proceso  (Leído 4,712 veces)
Saumix

Desconectado Desconectado

Mensajes: 4



Ver Perfil
[Duda] sobre un Proceso
« en: 21 Junio 2013, 23:37 pm »

Hola comunidad, tengo una duda sobre un proceso, el fichero en cuestión se llama WinAutomation.ServiceAgent.exe, algunos ya lo conocerán, el programa sirve para automatizar tareas repetitivas, anteriormente avast no lo detectaba como malware, pero ahora lo puso en cuarentena, lo he analizado en la pagina de virus total y a dado positivo en 26 de los 44 antivirus.

https://www.virustotal.com/es/file/7e3492ca23d39c21a75ce43d15aee2fe8827d27f40641379cc59418bd7afa98c/analysis/

Mi duda es si tiene algún proceso oculto, abre puertos, o establece alguna conexión remota, aclaro que es un crack que descargue de Internet, sin este archivo el programa queda inservible.

No se si algún experto en la materia pueda decirme si en efecto puede ser dañino o solo es un falso positivo.


En línea

burbu_1

Desconectado Desconectado

Mensajes: 159


hamen gaoz


Ver Perfil
Re: [Duda] sobre un Proceso
« Respuesta #1 en: 21 Junio 2013, 23:45 pm »

con 26/44 yo pasaría de ese programa,
que para lo que dices que sirve, se puede hacer con las herramientas de windows.



En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.878



Ver Perfil
Re: [Duda] sobre un Proceso
« Respuesta #2 en: 22 Junio 2013, 00:38 am »

No se si algún experto en la materia pueda decirme si en efecto puede ser dañino o solo es un falso positivo

¿Te das cuenta de lo que pides?, ¿Como vamos a poder darte una respuesta 100% efectiva si no proporcionas el executable para poder analizarlo?, solo te podemos dar opiniones, no creo que nadie se vaya a poner a buscar, descargar, y examinar todos los cracks que existan para dicho programa... vaya, además que tampoco sabemos la versión del programa que usas ni la del crack...

De todas formas, te digan lo que te digan, tratándose de un crack es algo muy inseguro el hecho de saber a ciencia cierta si está infectado o si es un falso positivo, aunque salgan 26, es algo común en todo tipo de cracks/keygens, y la mayoría son falsos positivos, pero si no se examina el exe...es imposible estar seguro, y no hay exe que examinar.
 
Mi duda es si tiene algún proceso oculto, abre puertos, o establece alguna conexión remota, aclaro que es un crack que descargue de Internet, sin este archivo el programa queda inservible.

Puedes usar un sin fin de herramientas externas para averiguarlo, como por ejemplo "process monitor" de Sysinternals, o algo más rápido...puedes subir el archivo a Anubis: http://anubis.iseclab.org/

Saludos!
« Última modificación: 22 Junio 2013, 02:46 am por EleKtro H@cker » En línea



Saumix

Desconectado Desconectado

Mensajes: 4



Ver Perfil
Re: [Duda] sobre un Proceso
« Respuesta #3 en: 22 Junio 2013, 01:45 am »

Gracias por sus respuestas.

He analizado el exe en la pagina que me proporcionaste, por cierto muy buena, y aquí están los resultados del análisis:

http://www.putlocker.com/file/3E6CC70CD008E60C

y aquí esta el exe

http://www.putlocker.com/file/018C4162C6D5397A

veo que ejecuta varios archivos del sistema y del registro, desconozco si alguno de ellos compromete el sistema.

 
« Última modificación: 22 Junio 2013, 01:51 am por Saumix » En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.878



Ver Perfil
Re: [Duda] sobre un Proceso
« Respuesta #4 en: 22 Junio 2013, 03:08 am »

veo que ejecuta varios archivos del sistema y del registro, desconozco si alguno de ellos compromete el sistema.

Ese archivo está limpio según el análisis de Anubis, solo toca archivos del .NET Framework los cuales son necesarios para correr la aplicación porque está desarrollada en .NET.

¿Pero lo que has subido y analizado es el crack, o es el archivo que parchea el crack?, lo digo porque ese archivo es un exe de un servicio, no un crack/patch :-/.

¿Lo que te marca como sospechoso el antivirus es el crack, o ese exe del servicio? xD, bueno, en caso de ser lo segundo ...está limpio.

Saludos!
« Última modificación: 22 Junio 2013, 03:12 am por EleKtro H@cker » En línea



Saumix

Desconectado Desconectado

Mensajes: 4



Ver Perfil
Re: [Duda] sobre un Proceso
« Respuesta #5 en: 22 Junio 2013, 03:56 am »

El archivo que subí es el crack, se reemplaza por el exe original del servicio, se le aplica una licencia y queda activado, si no se reemplaza el exe detecta la licencia como invalida.

De echo venia junto con otro executable que es el que abre la aplicación, llamado (WinAutomation.Console.exe) pero no se lo aplique al exe original del programa porque con la licencia y el exe (WinAutomation.ServiceAgent.exe) queda activado el programa, el otro executable lo único que hacia era mostrar un logo de la siguiente pagina

http://imglory.com

Que supongo fueron los creadores del crack, lo curioso es que para poder registrarse en el foro tienes que recibir antes una invitación de algún miembro, de otra manera no se puede ingresar.

Citar
IMGlory is a Very Exclusive Internet Marketing Forum - Registrations are closed and only accessible with an Invitation by another Imglory VIP member

Una comunidad muy exclusiva  :¬¬

Para salir de dudas este es el análisis del exe original del servicio solo pesa 209 kb mientras que el que el anterior que ya viene crackeado pesa 1.21 mb (siempre pesan mas los cracks) Pero no se si corra otros procesos innecesarios, para que funcione el programa.

http://www.putlocker.com/file/CCA5FD2222B66EB3

De antemano muchas Gracias por la ayuda
« Última modificación: 22 Junio 2013, 06:15 am por Saumix » En línea

Saumix

Desconectado Desconectado

Mensajes: 4



Ver Perfil
Re: [Duda] sobre un Proceso
« Respuesta #6 en: 23 Junio 2013, 00:17 am »

Analisis del archivo original

Dependency overview:
WinAutomat.exe WinAutomat.exe
Analysis reason: Primary Analysis Subject



Analisis del archivo crackeado

Dependency overview:
3269021F05.exe C:\3269021F05.exe
Analysis reason: Primary Analysis Subject
DW20.EXE C:\PROGRA~1\COMMON~1\MICROS~1\DW\DW20.EXE
Analysis reason: Started by 3269021F05.exe

Porque abre el proceso DW20.EXE si este servicio es el informe de errores?

Sera que ya esta comprometido el executable, y es por donde sale la información, ya que los firewalls no bloquean el informe de errores de Microsoft
En línea

burbu_1

Desconectado Desconectado

Mensajes: 159


hamen gaoz


Ver Perfil
Re: [Duda] sobre un Proceso
« Respuesta #7 en: 23 Junio 2013, 00:37 am »

en mi opinión..... (OPINION)
lo hace por estas lineas del análisis de anubis

Citar
Windows SEH exceptions:
Description Times
Exception 0xc0000094 (STATUS_INTEGER_DIVIDE_BY_ZERO) at
0x4e71dd
17
Exception 0xc000001d (STATUS_ILLEGAL_INSTRUCTION) at
0x4e7208
13
Exception 0xe06d7363 at 0x7c812aeb 3
Exception 0xe0434f4d at 0x7c812aeb 1

anubis es una herramienta buenísima.... pero existen formas de saltarla

En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines