Help - Search - Members
Full Version: gamingharbor_installer.exe
Kaspersky Lab Forum > Forum para usuarios hispanohablantes > Virus
arquezvall2004
Hola.

Alguien me podria hacer la caridad de explicarme de porque kaspersky no detecta al instalador: gamingharbor_installer.exe que es detectado por otros antivirus como amenaza:

http://www.virustotal.com/es/analisis/b496...528d-1253027963


Y es el responsable de instalar en las PC las siguientes amenazas:

HookAPINT.dll Enviada a los LAB KAV y respuesta negativa:

http://www.virustotal.com/es/analisis/0e57...2eb7-1253028376


HPIEAddOn.dll Kaspersky no lo detectaba ayer:

http://www.virustotal.com/es/analisis/09a3...b943-1252947515

Hoy ya lo detecta:

http://www.virustotal.com/es/analisis/09a3...b943-1253027252


Al terminar la instalacion del gamingharbor_installer.exe abre el IE y MSN Hotmail si es que esta instalado en la PC.

Saludos.
Caos
Envíame la muestra por mensaje privado para revisarla. Que te ha indicado en el laboratorio?
harlan4096
Envíame por mp un enlace para bajar el gamingharbor_installer.exe para testearlo.

Saludos y gracias.
arquezvall2004
Ya les envie la muestra. O mas bien el enlace para desargarlo... tienen que hacer clic en el PLAY para que el archivo se descargue y hasta entonces instalarlo.

Saludos.
harlan4096
También la hemos enviado, pero concretamente el instalador, por ahora no hemos obtenido contestación.

Por otro lado probé a ejecutar el instalador sobre el KIS 2010 9.0.0.463b, y al menos obtuve 4 proactivas y una o 2 ventanas del FireWall, creo que no hay que ser muy avanzado para ver que el programa intenta instalar una barra o Tool en el sistema/navegador, además de vete a saber qué más Ad-Aware, es más, es que en la misma ventana de instalación aparecen dibujos etc... que te pueden dar una pista, a todo elegí Block Now y sin problemas.

En cuanto obtengamos respuesta comentaremos el resultado.

Saludos.
arquezvall2004
Alguien puede probar ese instalador en una maquina virtual sin bloquear nada...????

Nada aun de respuesta...???

Saludos.
Caos
Respuesta 1:

Hello,


installer.exe_1 - not-a-virus:AdWare.Win32.PopMenu.b

This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

Please quote all when answering.
The answer is relevant to the latest bases from update sources.
Caos
Respuesta 2:

Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
harlan4096
Bueno he ejecutado el Gaming Harbor ToolBar en una máquina virtual (VirtualBox 3.0.6) con Windows XP SP3, corriendo sobre un sistema base con Windows 7 RTM x86.

KIS 2010 9.0.0.463b con bases de las 7:47am de hoy viernes, aún no era detectado el instalador.

Le he permitido todo, tanto proactivas que HAN SIDO MUUUUUCHAS, tantas que he llegado a hartarme hasta la saciedad, así como algunas menos pero también MUCHAS del FireWall.

Como veis en las capturas se ha metido tanto en el IE como en el FireFox, de hecho en las proactivas KIS iba informando de cada uno de los intentos de acceso a las diferentes secciones del registro de Windows.

En la instalación además de instalar la ToolBar en los navegadores, ha intentado colar varias veces algún que otro Trojan.Downloader, que el KIS 2010 si ha detectado, pero incluso permitiéndole todo al instalador, en esas ocasiones he tenido que Bloquear o Eliminar, porque no había otra opción (ver capturas). No he hecho capturas de todas las proactivas porque entonces me tiraría bastantes horas subiendo archivos de capturas de pantalla, ya que realmente han sido muchas ...

Con esto quiero decir que al usuario que esté en Modo Interactivo (y medianamente avanzado) no le resultará difícil parar una amenaza como esta, porque cuando le empezaran a saltar tantas ventanas proactivas y del FireWall, no hay que ser muy "listo" para saber que no debe ser NADA BUENO lo que estás intentando instalar biggrin.gif

En Modo Automático seguramente se colarán algunas cosas, ya que KIS en este modo es más permisivo, pero da menos la lata con las ventanas de avisos, esto para los usuarios nóveles smile.gif, de hecho en mi caso se ha colado el malware porque, como he comentado antes, ¡le he permitido TODO! y aún así KIS ha parado la entrada de varios Trojan.Downloaders.

La muestra ya es detectada por KIS e incluso, a la hora de la eliminación, inicia un proceso de desinfección avanzada especial. En estas capturas no aparece el proceso de eliminación/desinfección especial del KIS, sino sólo de los TD que detectó en la instalación del malware, con tomé las capturas aún la muestra no era detectada en bases por el KIS.

Saludos.
harlan4096
Continuo con algunas capturas más ...

Luego he pasado el MalWareBytes y el SuperAntiSpyWare, para ver qué detectaban ambos, y lo han hecho, 1º el MWB, que se ha llevado por delante casi todo, pero luego he pasado el SAS y ha encontrado aún algunos rastros más que el MWB no había pillado. Tengo el informe de lo que MWB ha detectado por si a alguien le interesa. Toda la información se va a enviar a los KLab para que sea analizada, aunque ya digo que a estas horas el instalador ya es detectado, con lo cual, no se llegaría a infectar el sistema con todo lo que os he comentado, porque directamente sería eliminado sin opción a instalar nada ni a intentar colar nada vía INet en nuestro sistema.

Si el KIS/KAV tuviera esa capacidad, sobre todo, de limpieza y/o desinfección pero a nivel de registro de Windows, del estilo de estos 2 programas, sería imparable, esperemos que en un futuro todo llegue smile.gif

Saludos.
arquezvall2004
Muchas gracias harlan4096 por probar la amenaza en una maquina virtual y por exponer y explicar los sucesos....!!! bravo.gif
Gracias Caos por informar de la amenaza a los expertos de kaspersky...!!! b_punk.gif

Si tengo mas lios con otra amenaza semejante se las hare saber...!!! rolleyes.gif
Sigo enviando amenazas nueva a los experto de kaspersky, auque este utilizando un antivirus de la competencia.
Pero cada virus que detecta el antivirus que estoy utilizando, lo envio a virustotal para ver si kaspersky lo detecta o no....!!! laugh3.gif

Saludos.
harlan4096
De VT no hay que fiarse mucho en cuanto a la detección de Kaspersky allí, pues aún usan un motor TOTALMENTE OBSOLETO, que dista mucho de tener la potencia por ejemplo del nuevo 2010, además KIS es un antivirus que en ejecución (por heurística y con el HIPS) pilla muchos virus que normalmente quizás en on demand no lo hace, estos serían chequeos estáticos, pronto en AV-Comparatives saldrán Tests dinámicos y veremos la potencia del KIS.

Saludos.
arquezvall2004
QUOTE(harlan4096 @ 18.09.2009 09:59) *
De VT no hay que fiarse mucho en cuanto a la detección de Kaspersky allí, pues aún usan un motor TOTALMENTE OBSOLETO, que dista mucho de tener la potencia por ejemplo del nuevo 2010, además KIS es un antivirus que en ejecución (por heurística y con el HIPS) pilla muchos virus que normalmente quizás en on demand no lo hace, estos serían chequeos estáticos, pronto en AV-Comparatives saldrán Tests dinámicos y veremos la potencia del KIS.

Saludos.


Para que fecha esta estimada la comparativa de AV-Comparatives.org...????

Saludos.
harlan4096
Creo que era para agosto o septiembre pero va con retraso.

Saludos.
harlan4096
Por si estás interesado, aquí hay un test que incluye parte de tests dinámicos en ejecución, aunque con pocas muestras:

http://www.pcsecuritylabs.net/news.php?readmore=23

Mira el informe ZIP (más información concreta de cada antivirus) porque es muy interesante.

Saludos.
arquezvall2004
QUOTE(harlan4096 @ 18.09.2009 11:01) *
Por si estás interesado, aquí hay un test que incluye parte de tests dinámicos en ejecución, aunque con pocas muestras:

http://www.pcsecuritylabs.net/news.php?readmore=23

Mira el informe ZIP (más información concreta de cada antivirus) porque es muy interesante.

Saludos.


ok...!!!!
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2014 Invision Power Services, Inc.