No entiendo lo que me quieren decir...????

Envio esta muestra a los expertos de kaspersky:

http://www.virustotal.com/es/analisis/3605...37fa-1255810723

y me responden esto:



Estoy traduciendo mal, porque yo entiendo:

En este momento es detectado el archivo, por favor actualice su base de de virus.

Cuando en realidad en virustotal sale que no le detecta...

Aqui la misma muestra pero modificada, solo le quite algunas letras:

http://www.virustotal.com/es/analisis/09ef...368a-1255810434

Saludos.

Es correcto, ya la han añadido, pero hasta que llega a los servidores siempre hay un margen de tiempo.

No te fíes del todo VT ... ya digo, ya la han añadido a las bases internas y hay siempre que esperar un margen de horas hasta que ya está disponible en servidores estándar para todos.

Saludos.

Ok entonces seguire enviando las otras muestras que tengo...!!!

Gracias, ya estaba asustado..!!!

Aproposito, alguien quiere probar unos bat que tengo, es que quiero saber que tal atrapa los BAT el KIS o KAV 2010...???

Saludos.

Además considera que depende mucho de cual es la frecuencia de actualización de Virus Total, puede que en VT actualicen cada 5 horas por ejemplo y lógicamente en ese periodo de tiempo varias actualizaciones ya fueron lanzadas y es probable que por eso no te lo detecte.

EDIT: Respecto a los .bat, lo haría pero no me atrevo a hacerlo en Win7, además de que ando de infraganti (debería estar haciendo tarea/estudiando ) y no tengo mi máquina virtual .

Saludos.

Ok de todos modo no se si los BAT podran ser efectivos en Vista o 7.

Saludos.

Pásamelos por mp.

Gracias.

La muestra ya es detectada desde esta mañana.

Aún así sólo he podido probarla en una 2009 8.0.0.517, sin actualizar, en una máquina virtual.

Como siempre, la Proactiva salta de primeras, si le das a bloquear o bloquear siempre o ahora, pues no pasa nada , el sistema no se reinicia y sale un ventana de MSDOS, donde da errores d ejecución del bat.

Pero si obviamente le decimos de confianza y le permitimos todo, pues el sistema termina por reiniciarse, es como todo, si a un virus le dejas la puerta abierta, le dices que pase y encima le invitas a un café, pues ...

Saludos.

Mas que virus, comandos para reiniciar el equipo, etc...

Siguiento con lo que no entiendo:

Tengo esta amenaza:

http://www.virustotal.com/es/analisis/736e...bb90-1255880996

Y si le cambio solo una letra el Kaspersky no lo detecta, mientras que otros antivirus si lo detectan aunque le agregue o modifique mas letras:

http://www.virustotal.com/es/analisis/248e...a740-1255880010

El antivirus que estoy probando lo detecta en cuanto lo reactivo, es decir: desactivo el antivirus, creo la amenaza y la guardo en el escritorio, reactivo el antivirus y al segundo lo detecta. Sinrealizar un escaneo.

harlan4096 ya le envie otro bat, esos bat aun no se han enviados a Kaspersky. Favor hacer los honores cuando termine su analice...

El pass siempre es el mismo.

Saludos.

A esos comandos se le pueden agregar mas cosillas que solo reiniciar...!!! Y ya dejan de ser solo comandos.

saludos.

Hola,

Pues depende mucho la "técnica" o "proceso" usado para crear las firmas antivirus, es por eso que algunos les puedes cambiar la mayor parte de la sintaxis al .bat y lo seguirá detectando, en algunos casos heurísticamente, en otros con una firma genérica o simplemente bajo una detección común. Depende mucho de que tanta información se agrega al antivirus para poder detectar una amenaza, si tu cambias las partes que el antivirus tiene programado a encontrar, lógicamente no lo detectará, pero si solo cambias código que no es buscado por el antivirus, éste lo seguirá detectando.

Saludos.

Si en esa parte ya me habia fijado:



Incluso le he agregado codigos, entre cada codigo original y el antivirus me lo sigue detectando...!!!!

harlan4096 te he enviado otras muestras entre ella va una nuevecita de paquete:

http://www.virustotal.com/es/analisis/07a7...e665-1255887727

Saludos.

Ok, ya las revisaré cuando tengo un poco de tiempo, gracias.

Saludos.

He estado haciendo alguna prueba en una VM con alguno de los .bat que me enviaste.

Primero las malas noticias ...

Con uno en concreto, aunque la proactiva del KIS 735 paró varias acciones (eligiendo Block Now), el bat pudo sobrepasarla y cambiar la asociación de los archivos .exe y .dll, con lo cual los .exe eran abiertos con el Windows Media Player, por lo que el sistema quedó afectado. No pude ni hacer una restauración a un punto anterior jeje

Pero menos mal que tenía unas herramientas para recuperación, y con un .reg rehice la asociación correcta de los .exe y luego pasé un par de herramientas más (en .exe ya) para poder reparar completamente la VM con XP.

Ahora las buenas, es que ese mismo .bat lo probé ejecutándolo en la SandBox (Safe Run) y haciendo exactamente lo mismo que en el caso anterior, el sistema no fue afectado en absoluto.

Vamos a hacer un informe de todo (capturas de pantalla, traces, etc ...) para enviarlo a KLabs y a ver si pueden tomar cartas en el asunto.

Seguiré informando ...

Saludos.

Gracias harlan4096 por tu valioso tiempo y por informarnos de los acontecimientos....!!!!

Lo malo de ese BAT es que la asociacion puede ser cambiada por otras extenciones: DOC, EXCEL, etc y el antivirus probablemente no lo detecte.

Saludos.

Como os ha comentado harlan4096, estamos probando y estudiando el tema de los bats, y se lo expondremos a Kaspersky, pero ya sabeis que el tema de los bat, los comandos legitimos utilizados con malas intenciones, etc... tiene su problematica, pero lo intentaremos.

Saludos

No entinedo lo de: "comandos legitimos utilizados con malas intenciones"...????? Hasta donde tengo entendido, existe una amenaza EXE que hace lo mismo que ese BAT en particular...

Solo le he dicho a harlan4096: Lo malo de ese BAT es que la asociacion puede ser cambiada por otras extenciones: DOC, EXCEL, etc y el antivirus probablemente no lo detecte.

Pero en realidad esos comando se le pueden colocar a cualquier otro BAT y camuflarlo con otros comandos dañinos.

Una pregunta:

El comando de Asociacion es utilizado por algun programa que no sea BAT...????

O mejor aun, el antivirus deberia de detectar ese comando en cualquier BAT, EXE, etc que intente alterar las asociaciones Normales del S.O.

Saludos.

harlan4096, probo el BAT de la "carpeta 4" es lo mismo, solo que en su minima expresion.

Saludos.

Hola,

Un bat consiste en una serie de comandos/mandatos de MSdos, ejemplo: un comando para reiniciar el equipo, configurar el apagado del equipo a cierta hora, comando para cambiar una extensión, etc.... existen multitud de comandos.

Esos comandos pueden ser totalmente benignos/legales/válidos/correctos pero a su vez esos comandos pueden ser utilizados con malas intenciones.

Como sabes puedes convertir fácilmente un bat a un exe (por ejemplo utilizando el winrar, utilizando la utilidad bat2exe, etc..).

El dilema es como lograr diferenciar las acciones benignas de las acciones maliciosas, ya que no es virus, malware, como tal.

Saludos

Existen BAT legales que se inician con el Sistema...??? Que no sea el Combofix que es un bat convertido a exe, segun tengo entendido...

O BAT Legales que intenten cambiar la asociacion de archivos ya existente en el sistema...???
O BAT legales que se propaguen por USB y demas dispositivos de almacenamientos...???

Creo que con este ultimo se pueden matar todos los BAT maliciosos, ya que solo bastaria con crear una base de datos de los comandos BAT y EXE de propagacion y asi crear los BAT Genericos como amenaza. Ya que ningun bat legal se crea con el objetivo de propagarse a otros dispositivos de almacenamientos.

Saludos.

EDITADO

No es que existan o no bats legales, a lo que se refería Caos es que los comandos utilizados en los bat en general, ya sean maliciosos o no, son legales en tanto que son comandos del sistema operativo para usarlos en scripts en la consola de comandos (antiguo modo MSDOS), por eso a veces es muy difícil distingue no sólo para Kaspersky, si no para la mayorías de avs, un comportamiento malicioso creado con estos comandos legales de un comportamiento "legal".

Aún así es cierto que quizás deberían crear ciertas reglas genéricas, que si bien en algún caso podría dar alugar a algún falso positivo, pero creo que en el caso de los bats siempr es mejor esto que lo contrario, y que un bat te destroce el sistema.

Vamos de nuevo a presionar a KLabs enviando las muestras, informes, etc ... a ver si a medio plazo conseguimos algo.

Saludos.

Bueno gracias por la explicacion, pero mi respuesta sigue siendo la misma:



Que es valida para todos los casos.

Cualquier programador de BAT puede realizar su proyecto, siempre y cuando el BAT no se propague de forma ilegal: "sin consentimiento propio del Usiario Final". Los comandos legales que son propios del sistema operativo dejan de serlo, cuando violan mi derecho propio de decidir que instalar y que no, o cuando va en perjuicio de mis intereses. Y eso lo puede regular el antivirus, como tu bien lo has dicho, el Kaspersky bloqueo varias artimañas del BAT pero menos la de Asociacion, de igual manera puede bloquear cualquier BAT que intente por cualquier medio propagarse. La propagacion automatica no es un medio legal de los BAT.

Si uno googlea un poco y sabe buscar bien, encontrara una gran cantidad de comandos de propagacion de BAT.

Ya por ultimo, que los creadores de Kaspersky incorporen un modulo BAT en el Antivirus, que permita al usuario especificarle al Antivirus que codigos BAT desea que se Bloqueen.

Lastima que Davile omitio su comentario al respecto del tema, me tiene intrigado lo que queria decir. Lastima que no tuve presente cuando lo puso y despues lo borro.

Saludos.