24 oct 2011

Flu b0.4 detectado por 19 antivirus

Buenas a todos, como muchos de vosotros ya nos habéis ido contando durante las dos últimas semanas, poco a poco han ido aumentando el número de antivirus que han comenzado a detectar a la nueva versión de Flu, la nueva b0.4, como un malware de tipo troyano.

Hemos procedido a realizar una serie de pruebas con Virustotal, ya que muchos de vosotros lo habíais subido con anterioridad. En primer lugar hemos subido el ejecutabale que viene compilado por defecto, apuntando a localhost, este ejecutable no puede usarse evidentemente para infectar a nadie, porque la conexión la intentaría hacer con la IP 127.0.0.1. Aún así, 19 casas de antivirus han decidido bloquear este exe.

Para la segunda prueba, hemos generado un nuevo bot con el generador de bots, apuntando a otra IP, de esta manera cambia el hash del exe final. Tras subir este nuevo archivo a virustotal, se reducía a 13 el número de antivirus que detectaban a Flu (por lo que la detección de los otros 6 realizada con el primer exe de Flu no serviría de mucho):

Finalmente hemos abierto este nuevo exe en modo texto, y hemos modificado un byte. Tras subirlo hemos podido comprobar como solo 2 antivirus eran capaces de detectar a Flu b0.4:

Nos ha hecho mucha ilusión, como a un niño con juguete nuevo, la noticia de que los antivirus nos hayan comenzado a tener en cuenta, ya que aunque Flu Project tiene un objetivo totalmente benigno para la sociedad, contribuyendo al conocimiento de seguridad y colaborando para perseguir el cibergrooming en Internet de la mano de Anti-Depredadores, este hecho significa que las casas de antivirus se han hecho eco de nuestro proyecto, y se ponen manos a la obra para protegernos a todos los usuarios de los peligros de Internet (aunque hayan tardado 10 meses en bloquear a Flu).

Saludos!

4 comentarios:

  1. Buenas :))He comparado las imagenes, y resulta que en la segunda tanda, el NOD32 no lo detecta, pero cuando cambiais el byte y solo es detectado por dos AV, uno de ellos es el NOD32, por lo que me surge la duda sobre la fiabilidad de las detecciones :-SSaludetes y a seguir asi !!!

    ResponderEliminar
  2. aken: Buenas )He comparado las imagenes, y resulta que en la segunda tanda, el NOD32 no lo detecta, pero cuando cambiais el byte y solo es detectado por dos AV, uno de ellos es el NOD32, por lo que me surge la duda sobre la fiabilidad de las detecciones :-SSaludetes y a seguir asi !!!Así es, muy curioso.Gracias, saludos!

    ResponderEliminar
  3. nos llena de orgullo y satisfacción... :) la verdad que hizo ilu... :D

    ResponderEliminar
  4. [...] Charlamos sobre las curiosidades de la detectabilidad de la última versión estable de Flu en el artículo: Flu b0.4 detectado por 19 antivirus [...]

    ResponderEliminar