Buenas a todos, el pasado jueves publicamos la nueva versión de Flu para Windows, vamos por la b0.3, y al rato @zipus_tec (gracias Zipus!) nos comentaba por el foro del portal que Flu ya era detectado por un antivirus, Kaspersky 2011. ¿Firma? era poco probable, ya que en unas horas no iban a hacer el trabajo que ninguna casa de antivirus había hecho en los últimos tres meses, asi que como ni Pablo ni yo teníamos una edición de Kaspersky 2011 a mano, lo subimos a VirusTotal, y para nuestra sorpresa, aparte de que ya había alguien que se había entretenido en subirlo durante ese día, ¡un antivirus nos detectaba!.A continuación os dejamos el resultado del análisis:
- AhnLab-V3 2011.03.11.00 2011.03.10 Trojan/Win32.OnlineGameHack
- AntiVir 7.11.4.163 2011.03.10 -
- Antiy-AVL 2.0.3.7 2011.03.09 -
- Avast 4.8.1351.0 2011.03.10 -
- Avast5 5.0.677.0 2011.03.10 -
- AVG 10.0.0.1190 2011.03.10 -
- BitDefender 7.2 2011.03.10 -
- CAT-QuickHeal 11.00 2011.03.10 -
- ClamAV 0.96.4.0 2011.03.10 -
- Commtouch 5.2.11.5 2011.03.10 -
- Comodo 7934 2011.03.10 -
- DrWeb 5.0.2.03300 2011.03.10 -
- Emsisoft 5.1.0.2 2011.03.10 -
- eSafe 7.0.17.0 2011.03.10 -
- eTrust-Vet 36.1.8208 2011.03.10 -
- F-Prot 4.6.2.117 2011.03.10 -
- F-Secure 9.0.16440.0 2011.03.10 -
- Fortinet 4.2.254.0 2011.03.10 -
- GData 21 2011.03.10 -
- Ikarus T3.1.1.97.0 2011.03.10 -
- Jiangmin 13.0.900 2011.03.10 -
- K7AntiVirus 9.92.4076 2011.03.10 -
- Kaspersky 7.0.0.125 2011.03.10 -
- McAfee 5.400.0.1158 2011.03.10 -
- McAfee-GW-Edition 2010.1C 2011.03.10 -
- Microsoft 1.6603 2011.03.10 -
- NOD32 5943 2011.03.10 -
- Norman 6.07.03 2011.03.10 -
- nProtect 2011-02-10.01 2011.02.15 -
- Panda 10.0.3.5 2011.03.10 -
- PCTools 7.0.3.5 2011.03.10 -
- Prevx 3.0 2011.03.10 -
- Rising 23.48.03.05 2011.03.10 -
- Sophos 4.63.0 2011.03.10 -
- SUPERAntiSpyware 4.40.0.1006 2011.03.10 -
- Symantec 20101.3.0.103 2011.03.10 -
- TheHacker 6.7.0.1.147 2011.03.10 -
- TrendMicro 9.200.0.1012 2011.03.10 -
- TrendMicro-HouseCall 9.200.0.1012 2011.03.10 -
- VBA32 3.12.14.3 2011.03.10 -
- VIPRE 8659 2011.03.10 -
- ViRobot 2011.3.10.4351 2011.03.10 -
- VirusBuster 13.6.245.0 2011.03.10 -
Y como podéis ver a continuación, tras lanzar un escaneo con el antivirus, no detecta a Flu como un virus, porque no tiene registrada su firma:
saludos!
El peor error que puedes hacer es subir tus proyectos a virustotal, ya que estos envian los archivos a la empresas de antivirus...Usa mejor http://www.novirusthanks.org/ que no envia los archivos a las empresas de antivirus...
ResponderEliminarSi, esta claro, pero lo que no podemos evitar es que los suban otros usuarios...Saludos
ResponderEliminarclaro, tarde o temprano acaban subiendolo a virustotal... en semanas será detectado por más y más antivirus, es el ciclo del malware jejeuna cosa que me he dado cuenta con el malware programado en C#, es que no son muy compatibles con los crypters, por lo menos con los que he probado yo en VB... xD.un saludo!!
ResponderEliminarincreible ya sois famosos, mola que pasen estas cosas :p
ResponderEliminaren realidad famosos no. Lo seremos cuando la firma de algún antivirus se llame Trojan/Win32.Flu jiji que seguro que pasa xD, muchos amigos programadores de malware, ya tienen firmas con su nombre jeje
ResponderEliminarMuchachos sean realistas y dejen de soñar, siempre tarde o temprano aparecerán listados en las DB de los antivirus. Ya sea la versión publica y o privada. En todo caso empiecen a ver métodos para modificar la detección del mismo.Saludos
ResponderEliminarahora veo y sale que no lo detecta? le tienen miedo a Flu o que pasó aqui?
ResponderEliminarModificamos el archivo el mismo día para que no tuviesen la nueva firma.saludos
ResponderEliminarEsta solucionado? Tengo que volver a descargarlo?
ResponderEliminarNo, tranquilo, la funcionalidades es la misma... aunque la nueva versión ya no la detecta, por la firma. Kaspersky 2011 seguirá detectándolo ya que lo hacía por comportamiento.Salu2 ;)
ResponderEliminarVeo que hace mas de 1 año que no se deja ningun comentario, pero espero que alguien lo lea y se interese.1) algo q tengo entendido sobre las firmas es que los virus dejan en los archivos infectados su "firma" para no volver a infectarlos, eso fue evolucionando ya que pueden infectar con diferentes "firmas". entonces, cuando decimos que ya tienen la firma de flu-project a que se refieren??porque muchos troyanos usan los mismos comandos, como getasynckey() o como se escriba....por eso pregunto a que se refieren con que tienen la firma? y si lo detecta por comportamiento ya tendriamos que encryptarlo. pero si lo encryptamos lo puede detectar como un archivo encryptado. igual tambien el AV lo puede ejecutar en un sandbox y te agarra igual....bueno igual la pregunta inicial era sobre la firma. si alguien me contesta muchas gracias :)
ResponderEliminarPues a dia de hoy no es uno, si no más de 30. Hemos escrito ya varios posts posteriores a este sobre el tema hablando de ello. Hay algunos antivirus que detectan la firma y otros el comportamiento. Pero cualquier modificación leve del exe lo hace indetectable para la mayoría. Y si le pasas un crypter (no recogido por los AV claro, que si no es peor) o un cifrador como eazfuscator (se ha hablado del tema por el foro), lo haces indetectable para todos.Batallitas a parte, contestando a tu pregunta, nos referíamos en su día a que ese AV tenía registrada una parte concreta y descriptiva o todo el exe del malware mediante firma.saludos!
ResponderEliminarbueno muchas gracias por contestarme! entonces supongo que la firma es el exe en general, osea el codigo del troyano, virus, etc. igual siempre que el troyano sea detectado por comportamiento, aunque este sea encryptado lo va a detectar. supongo, no? ahora me voy a sumergir en el foro para ver si puedo entender un poco mas.lei bastante sobre los crypters pero nunca pude usar uno. una pregunta mas para ver si me ayudas. si encrypto el flu con algun logaritmo como AES, lo AV lo reconoceran?? bueno no se si dije cualquiera, pero bueno, agradezco si responden y si no tambien. ya me ayudaron bastante con la primer respuesta.saludos!
ResponderEliminar