Autor
|
Tema: [Duda] sobre un Proceso (Leído 4,712 veces)
|
Saumix
Desconectado
Mensajes: 4
|
Hola comunidad, tengo una duda sobre un proceso, el fichero en cuestión se llama WinAutomation.ServiceAgent.exe, algunos ya lo conocerán, el programa sirve para automatizar tareas repetitivas, anteriormente avast no lo detectaba como malware, pero ahora lo puso en cuarentena, lo he analizado en la pagina de virus total y a dado positivo en 26 de los 44 antivirus. https://www.virustotal.com/es/file/7e3492ca23d39c21a75ce43d15aee2fe8827d27f40641379cc59418bd7afa98c/analysis/Mi duda es si tiene algún proceso oculto, abre puertos, o establece alguna conexión remota, aclaro que es un crack que descargue de Internet, sin este archivo el programa queda inservible. No se si algún experto en la materia pueda decirme si en efecto puede ser dañino o solo es un falso positivo.
|
|
|
En línea
|
|
|
|
burbu_1
Desconectado
Mensajes: 159
hamen gaoz
|
con 26/44 yo pasaría de ese programa, que para lo que dices que sirve, se puede hacer con las herramientas de windows.
|
|
|
En línea
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.878
|
No se si algún experto en la materia pueda decirme si en efecto puede ser dañino o solo es un falso positivo ¿Te das cuenta de lo que pides?, ¿Como vamos a poder darte una respuesta 100% efectiva si no proporcionas el executable para poder analizarlo?, solo te podemos dar opiniones, no creo que nadie se vaya a poner a buscar, descargar, y examinar todos los cracks que existan para dicho programa... vaya, además que tampoco sabemos la versión del programa que usas ni la del crack... De todas formas, te digan lo que te digan, tratándose de un crack es algo muy inseguro el hecho de saber a ciencia cierta si está infectado o si es un falso positivo, aunque salgan 26, es algo común en todo tipo de cracks/keygens, y la mayoría son falsos positivos, pero si no se examina el exe...es imposible estar seguro, y no hay exe que examinar. Mi duda es si tiene algún proceso oculto, abre puertos, o establece alguna conexión remota, aclaro que es un crack que descargue de Internet, sin este archivo el programa queda inservible. Puedes usar un sin fin de herramientas externas para averiguarlo, como por ejemplo "process monitor" de Sysinternals, o algo más rápido...puedes subir el archivo a Anubis: http://anubis.iseclab.org/Saludos!
|
|
« Última modificación: 22 Junio 2013, 02:46 am por EleKtro H@cker »
|
En línea
|
|
|
|
|
Eleкtro
Ex-Staff
Desconectado
Mensajes: 9.878
|
veo que ejecuta varios archivos del sistema y del registro, desconozco si alguno de ellos compromete el sistema. Ese archivo está limpio según el análisis de Anubis, solo toca archivos del .NET Framework los cuales son necesarios para correr la aplicación porque está desarrollada en .NET. ¿Pero lo que has subido y analizado es el crack, o es el archivo que parchea el crack?, lo digo porque ese archivo es un exe de un servicio, no un crack/patch :-/. ¿Lo que te marca como sospechoso el antivirus es el crack, o ese exe del servicio? xD, bueno, en caso de ser lo segundo ...está limpio. Saludos!
|
|
« Última modificación: 22 Junio 2013, 03:12 am por EleKtro H@cker »
|
En línea
|
|
|
|
Saumix
Desconectado
Mensajes: 4
|
El archivo que subí es el crack, se reemplaza por el exe original del servicio, se le aplica una licencia y queda activado, si no se reemplaza el exe detecta la licencia como invalida. De echo venia junto con otro executable que es el que abre la aplicación, llamado (WinAutomation.Console.exe) pero no se lo aplique al exe original del programa porque con la licencia y el exe (WinAutomation.ServiceAgent.exe) queda activado el programa, el otro executable lo único que hacia era mostrar un logo de la siguiente pagina http://imglory.comQue supongo fueron los creadores del crack, lo curioso es que para poder registrarse en el foro tienes que recibir antes una invitación de algún miembro, de otra manera no se puede ingresar. IMGlory is a Very Exclusive Internet Marketing Forum - Registrations are closed and only accessible with an Invitation by another Imglory VIP member Una comunidad muy exclusiva Para salir de dudas este es el análisis del exe original del servicio solo pesa 209 kb mientras que el que el anterior que ya viene crackeado pesa 1.21 mb (siempre pesan mas los cracks) Pero no se si corra otros procesos innecesarios, para que funcione el programa. http://www.putlocker.com/file/CCA5FD2222B66EB3De antemano muchas Gracias por la ayuda
|
|
« Última modificación: 22 Junio 2013, 06:15 am por Saumix »
|
En línea
|
|
|
|
Saumix
Desconectado
Mensajes: 4
|
Analisis del archivo original
Dependency overview: WinAutomat.exe WinAutomat.exe Analysis reason: Primary Analysis Subject
Analisis del archivo crackeado
Dependency overview: 3269021F05.exe C:\3269021F05.exe Analysis reason: Primary Analysis Subject DW20.EXE C:\PROGRA~1\COMMON~1\MICROS~1\DW\DW20.EXE Analysis reason: Started by 3269021F05.exe
Porque abre el proceso DW20.EXE si este servicio es el informe de errores?
Sera que ya esta comprometido el executable, y es por donde sale la información, ya que los firewalls no bloquean el informe de errores de Microsoft
|
|
|
En línea
|
|
|
|
burbu_1
Desconectado
Mensajes: 159
hamen gaoz
|
en mi opinión..... (OPINION) lo hace por estas lineas del análisis de anubis Windows SEH exceptions: Description Times Exception 0xc0000094 (STATUS_INTEGER_DIVIDE_BY_ZERO) at 0x4e71dd 17 Exception 0xc000001d (STATUS_ILLEGAL_INSTRUCTION) at 0x4e7208 13 Exception 0xe06d7363 at 0x7c812aeb 3 Exception 0xe0434f4d at 0x7c812aeb 1 anubis es una herramienta buenísima.... pero existen formas de saltarla
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Duda obtener ID proceso
Programación Visual Basic
|
h0oke
|
6
|
4,960
|
14 Julio 2009, 01:51 am
por h0oke
|
|
|
Consulta sobre Inyeccion de una dll en un proceso
Programación Visual Basic
|
saratoga2k
|
0
|
1,833
|
6 Abril 2011, 00:12 am
por saratoga2k
|
|
|
Duda de proceso de mi programa y proceso system
Programación General
|
crazykenny
|
0
|
2,799
|
12 Abril 2011, 20:02 pm
por crazykenny
|
|
|
Pequeña duda sobre la reserva de memoria al crear un proceso
Análisis y Diseño de Malware
|
lessionone
|
7
|
3,396
|
23 Abril 2012, 15:26 pm
por Karcrack
|
|
|
Duda personal sobre proceso de creación.
Foro Libre
|
m0rf
|
2
|
2,120
|
16 Junio 2012, 22:04 pm
por m0rf
|
|