12 mar 2011

¡Un antivirus tiene registrada la firma de Flu!

 
Buenas a todos, el pasado jueves publicamos la nueva versión de Flu para Windows, vamos por la b0.3, y al rato @zipus_tec (gracias Zipus!) nos comentaba por el foro del portal que Flu ya era detectado por un antivirus, Kaspersky 2011. ¿Firma? era poco probable, ya que en unas horas no iban a hacer el trabajo que ninguna casa de antivirus había hecho en los últimos tres meses, asi que como ni Pablo ni yo teníamos una edición de Kaspersky 2011 a mano, lo subimos a VirusTotal, y para nuestra sorpresa, aparte de que ya había alguien que se había entretenido en subirlo durante ese día, ¡un antivirus nos detectaba!.A continuación os dejamos el resultado del análisis:
  • AhnLab-V3 2011.03.11.00 2011.03.10 Trojan/Win32.OnlineGameHack
  • AntiVir 7.11.4.163 2011.03.10 -
  • Antiy-AVL 2.0.3.7 2011.03.09 -
  • Avast 4.8.1351.0 2011.03.10 -
  • Avast5 5.0.677.0 2011.03.10 -
  • AVG 10.0.0.1190 2011.03.10 -
  • BitDefender 7.2 2011.03.10 -
  • CAT-QuickHeal 11.00 2011.03.10 -
  • ClamAV 0.96.4.0 2011.03.10 -
  • Commtouch 5.2.11.5 2011.03.10 -
  • Comodo 7934 2011.03.10 -
  • DrWeb 5.0.2.03300 2011.03.10 -
  • Emsisoft 5.1.0.2 2011.03.10 -
  • eSafe 7.0.17.0 2011.03.10 -
  • eTrust-Vet 36.1.8208 2011.03.10 -
  • F-Prot 4.6.2.117 2011.03.10 -
  • F-Secure 9.0.16440.0 2011.03.10 -
  • Fortinet 4.2.254.0 2011.03.10 -
  • GData 21 2011.03.10 -
  • Ikarus T3.1.1.97.0 2011.03.10 -
  • Jiangmin 13.0.900 2011.03.10 -
  • K7AntiVirus 9.92.4076 2011.03.10 -
  • Kaspersky 7.0.0.125 2011.03.10 -
  • McAfee 5.400.0.1158 2011.03.10 -
  • McAfee-GW-Edition 2010.1C 2011.03.10 -
  • Microsoft 1.6603 2011.03.10 -
  • NOD32 5943 2011.03.10 -
  • Norman 6.07.03 2011.03.10 -
  • nProtect 2011-02-10.01 2011.02.15 -
  • Panda 10.0.3.5 2011.03.10 -
  • PCTools 7.0.3.5 2011.03.10 -
  • Prevx 3.0 2011.03.10 -
  • Rising 23.48.03.05 2011.03.10 -
  • Sophos 4.63.0 2011.03.10 -
  • SUPERAntiSpyware 4.40.0.1006 2011.03.10 -
  • Symantec 20101.3.0.103 2011.03.10 -
  • TheHacker 6.7.0.1.147 2011.03.10 -
  • TrendMicro 9.200.0.1012 2011.03.10 -
  • TrendMicro-HouseCall 9.200.0.1012 2011.03.10 -
  • VBA32 3.12.14.3 2011.03.10 -
  • VIPRE 8659 2011.03.10 -
  • ViRobot 2011.3.10.4351 2011.03.10 -
  • VirusBuster 13.6.245.0 2011.03.10 -
 Como veis, hay un antivirus que nos tiene fichados como un "Online Game Hack", ¡¿somos un juego?!.Este es el antivirus que nos detecta. La empresa que lo desarrolla tiene su sede principal en Korea, aunque operan también en Japón y en China. ¡Somos un peligro para Asia! =).El caso, no nos parece mal que nos detecten, de hecho nos alegra que nos tengan en cuenta, aunque el mérito de que sus antivirus nos limpien no es mucho cuando damos el código y la vacuna de Flu..., pero bueno, esto confirma que no podremos publicar nada de Flu-AD, porque si es utilizado en un caso de pederastia, y el antivirus del depredador nos borra a Flu ¡menuda gracia, el trabajo de meses al retrete!Por cierto, Kaspersky nos borró porque detectó las operaciones de Flu como un comportamiento malicioso, como nos revelaron las capturas que nos envió Zipus horas más tarde, asi que se basó en heurísticas en vez de en firma.A continuación os dejamos las capturas que nos envió, donde se puede ver como Kaspersky detecta el comportamiento malicioso y elimina a Flu:

 

Y como podéis ver a continuación, tras lanzar un escaneo con el antivirus, no detecta a Flu como un virus, porque no tiene registrada su firma:

saludos!

13 comentarios:

  1. El peor error que puedes hacer es subir tus proyectos a virustotal, ya que estos envian los archivos a la empresas de antivirus...Usa mejor http://www.novirusthanks.org/ que no envia los archivos a las empresas de antivirus...

    ResponderEliminar
  2. Si, esta claro, pero lo que no podemos evitar es que los suban otros usuarios...Saludos

    ResponderEliminar
  3. claro, tarde o temprano acaban subiendolo a virustotal... en semanas será detectado por más y más antivirus, es el ciclo del malware jejeuna cosa que me he dado cuenta con el malware programado en C#, es que no son muy compatibles con los crypters, por lo menos con los que he probado yo en VB... xD.un saludo!!

    ResponderEliminar
  4. increible ya sois famosos, mola que pasen estas cosas :p

    ResponderEliminar
  5. en realidad famosos no. Lo seremos cuando la firma de algún antivirus se llame Trojan/Win32.Flu jiji que seguro que pasa xD, muchos amigos programadores de malware, ya tienen firmas con su nombre jeje

    ResponderEliminar
  6. Muchachos sean realistas y dejen de soñar, siempre tarde o temprano aparecerán listados en las DB de los antivirus. Ya sea la versión publica y o privada. En todo caso empiecen a ver métodos para modificar la detección del mismo.Saludos

    ResponderEliminar
  7. ahora veo y sale que no lo detecta? le tienen miedo a Flu o que pasó aqui?

    ResponderEliminar
  8. Modificamos el archivo el mismo día para que no tuviesen la nueva firma.saludos

    ResponderEliminar
  9. Esta solucionado? Tengo que volver a descargarlo?

    ResponderEliminar
  10. No, tranquilo, la funcionalidades es la misma... aunque la nueva versión ya no la detecta, por la firma. Kaspersky 2011 seguirá detectándolo ya que lo hacía por comportamiento.Salu2 ;)

    ResponderEliminar
  11. Veo que hace mas de 1 año que no se deja ningun comentario, pero espero que alguien lo lea y se interese.1) algo q tengo entendido sobre las firmas es que los virus dejan en los archivos infectados su "firma" para no volver a infectarlos, eso fue evolucionando ya que pueden infectar con diferentes "firmas". entonces, cuando decimos que ya tienen la firma de flu-project a que se refieren??porque muchos troyanos usan los mismos comandos, como getasynckey() o como se escriba....por eso pregunto a que se refieren con que tienen la firma? y si lo detecta por comportamiento ya tendriamos que encryptarlo. pero si lo encryptamos lo puede detectar como un archivo encryptado. igual tambien el AV lo puede ejecutar en un sandbox y te agarra igual....bueno igual la pregunta inicial era sobre la firma. si alguien me contesta muchas gracias :)

    ResponderEliminar
  12. Pues a dia de hoy no es uno, si no más de 30. Hemos escrito ya varios posts posteriores a este sobre el tema hablando de ello. Hay algunos antivirus que detectan la firma y otros el comportamiento. Pero cualquier modificación leve del exe lo hace indetectable para la mayoría. Y si le pasas un crypter (no recogido por los AV claro, que si no es peor) o un cifrador como eazfuscator (se ha hablado del tema por el foro), lo haces indetectable para todos.Batallitas a parte, contestando a tu pregunta, nos referíamos en su día a que ese AV tenía registrada una parte concreta y descriptiva o todo el exe del malware mediante firma.saludos!

    ResponderEliminar
  13. bueno muchas gracias por contestarme! entonces supongo que la firma es el exe en general, osea el codigo del troyano, virus, etc. igual siempre que el troyano sea detectado por comportamiento, aunque este sea encryptado lo va a detectar. supongo, no? ahora me voy a sumergir en el foro para ver si puedo entender un poco mas.lei bastante sobre los crypters pero nunca pude usar uno. una pregunta mas para ver si me ayudas. si encrypto el flu con algun logaritmo como AES, lo AV lo reconoceran?? bueno no se si dije cualquiera, pero bueno, agradezco si responden y si no tambien. ya me ayudaron bastante con la primer respuesta.saludos!

    ResponderEliminar