Jump to content
harlan4096

Fichero bastante sospechoso ...

Recommended Posts

Buenas ... esta mañana buscando por la red me he topado con un par de archivo algos sospechosos, pretendiendo ser ambos un crack o validación para un plugin del Nero 8 ...

 

Tengo el KIS 7.0.125 y este no me detecta nada en ambos ...

 

Subo los ficheros a la Web VirusTotal y me encuentro lo siguiente que aparece en la imagen ...

 

Os paso sólo la imagen de uno de los ficheros, pero en ambos muchos de los motores encuentran algo, casi la mitad, en un 50%, los envío a KL Labs y me dicen que nanai de la China, que según ellos no hay nada, que están limpios ...

 

Espero opiniones varias :lol:

 

Saludos.

 

Share this post


Link to post

Os paso la 2ª imagen del análisis del otro fichero en VirusTotal.

 

Deciros que tengo las opciones para chequeo al máximo en Heurística y SpyWare y dangerous and malware activas ...

 

De nuevo espero opiniones :). Como he comentado antes los he enviado a KL Labs y me han dicho que nada de nada ...

 

Saludos.

 

P.D.: Esta tarde me piro de fin de semana hasta el domingo, aviso por si alguno está interesado en ambos ficheros :)

Edited by harlan4096

Share this post


Link to post
Os paso la 2ª imagen del análisis del otro fichero en VirusTotal.

 

Deciros que tengo las opciones para chequeo al máximo en Heurística y SpyWare y dangerous and malware activas ...

 

De nuevo espero opiniones :). Como he comentado antes los he enviado a KL Labs y me han dicho que nada de nada ...

 

Saludos.

 

P.D.: Esta tarde me piro de fin de semana hasta el domingo, aviso por si alguno está interesado en ambos ficheros :)

Mandamelas por pm y pruebo con la heurística beta.

Saludos

P.D. Cuanto tiempo sin leerte. Da gusto volver a ver a uno de los veteranos o el más.

Share this post


Link to post
Mandamelas por pm y pruebo con la heurística beta.

Saludos

P.D. Cuanto tiempo sin leerte. Da gusto volver a ver a uno de los veteranos o el más.

 

Buenas jejeje tanto como el más veterano yo no diría, pero ciertamente me he prodigado poco últimamente :) ... aunque realmente nunca he faltado, prácticamente consulto el foro todos los días y el de inglés también, pero a veces sólo leo los post que me interesan :) y por falta de tiempo ...

 

Saludos.

 

 

 

 

Share this post


Link to post

Yo tambien me apunto a comprobarlos, enviame enlace por pm. Me parece raro que kaspersky no detecte nada¿?

 

Saludos

Share this post


Link to post
Yo tambien me apunto a comprobarlos, enviame enlace por pm. Me parece raro que kaspersky no detecte nada¿?

 

Saludos

 

Pongo los enlaces a los 2 ficheros en cuestión, porque me piro esta tarde hasta el domingo y no me voy a volver loco enviando mensajes personales a todos :D

 

http://rapidshare.com/files/61823567/PCP-034.rar.html

http://rapidshare.com/files/61823835/Setup...er-031.rar.html

 

Ya me contaréis, y al loro si los ejecutáis, mal que me pese y mucho -_- decir esto, pero que aunque KIS/KAV 7 diga que no, puede que si sean peligrosos ... pero si podemos contribuir a mejorarlo, pues bienvenidos sean ...

 

Saludos.

 

 

Share this post


Link to post

Juer! Acabo de llegar y veo que la peña más bien se ha ido de fiesta estos tres días :) no ha escrito NADIE DESDE QUE ME FUI EL JUEVES! :D a ver si RadarpSP y Caos nos dicen algo nuevo acerca de estos 2 ficheros sospechosos ...

 

Saludos.

Edited by harlan4096

Share this post


Link to post
Juer! Acabo de llegar y veo que la peña más bien se ha ido de fiesta estos tres días :) no ha escrito NADIE DESDE QUE ME FUI EL JUEVES! :D a ver si RadarpSP y Caos nos dicen algo nuevo acerca de estos 2 ficheros sospechosos ...

 

Saludos.

 

Sera porque ya no se pueden bajar los archivos del servidor RapidShare... me manda a pedir una cuenta:

 

With 170 Gigabit/s of Internet connectivity and 4 Petabytes of storage, RapidShare is one of the biggest and fastest web hosters world wide.

 

1-Click web hosting for free

With our 1-Click web hosting solution you can put your files online for free with just one click fast and easy. You decide, who will be able to access your file. Only people knowing the exact download URL are able to download your file. Your file will be deleted when it has not been accessed for more than 90 days or you use your delete link.

 

Professional web hosting

By using our direct download solution, you can provide many features to your friends and customers. Embed videos and images directly into your homepage, make interesting files available for direct download. No matter where your customers are, by being able to choose from ten mirrors, you show that you take file hosting serious. Big companies have the possibility to use our file hosting cluster solution if extreme bandwidth is needed by serving thousands of customers at the same time. Start now by purchasing a premium account.

 

You have requested http://rapidshare.com/files/61823567/PCP-034.rar (100 KB).

 

Too many users downloading right now. Please try again in two minutes or get a PREMIUM-Account

 

Saludos...

Share this post


Link to post
Juer! Acabo de llegar y veo que la peña más bien se ha ido de fiesta estos tres días :) no ha escrito NADIE DESDE QUE ME FUI EL JUEVES! :D a ver si RadarpSP y Caos nos dicen algo nuevo acerca de estos 2 ficheros sospechosos ...

 

Saludos.

La heurista beta tampoco pilla nada.

Yo me inclinaría a pensar que están limpios. En estos días ningún antivirus que no los detectase los ha añadido a sus bases, en Kaspersky dicen que está limpio.

Quizá sea un juego que intenta conectarse a un servidor o similar y por ello algunos lo considerán como troyano.

Saludos

Share this post


Link to post
La heurista beta tampoco pilla nada.

Yo me inclinaría a pensar que están limpios. En estos días ningún antivirus que no los detectase los ha añadido a sus bases, en Kaspersky dicen que está limpio.

Quizá sea un juego que intenta conectarse a un servidor o similar y por ello algunos lo considerán como troyano.

Saludos

 

Aha, si es posible que sea esto, tendremos que fiarnos de KL Lab, el caso es que viendo los resultado del chequeo en VirusTotal, casi el 50% en uno de los archivos coincide en la detección y además le dan el mismo nombre con variaciones (Casino) y en el otro también bastante motores, muchos de ellos bastante reputados lo dan como virus ... lo cual me hace pensar en que es demasiada casualidad tantos falsos positivos ...

 

Saludos,

 

Share this post


Link to post

De momento escaneados con el kaspersky workstation v6.0.2.690 y con el mcafee enterprise v8.5i + modulo antispyware y no me detecta nada.

 

Luego probare desde casa con el nod32 y el kis 7.

 

Saludos

Share this post


Link to post
De momento escaneados con el kaspersky workstation v6.0.2.690 y con el mcafee enterprise v8.5i + modulo antispyware y no me detecta nada.

 

Luego probare desde casa con el nod32 y el kis 7.

 

Saludos

 

Ya te adelanto que no creo que NOD32 te dé algo y tampoco el KIS 7 (125) porque yo es el que tengo, pero haz la prueba subiéndolo a la Web de VirusTotal, ambos y verás los resultados bastante interesantes ...

 

Saludos

Edited by harlan4096

Share this post


Link to post

El nod32 tampoco detecta nada, pienso que sera un falso positivo, pero ahora probare con varios scanners online, a ver que me dicen.

 

Saludos

Share this post


Link to post

Escaneado en varios, e indica lo siguiente:

 

deteccionnp8.png

 

 

deteccion2if1.png

 

 

deteccion2if1.png

 

 

deteccion4zo0.png

 

 

http://img85.imageshack.us/img85/9537/deteccionnp8.png

http://img145.imageshack.us/img145/2377/deteccion2if1.png

http://img145.imageshack.us/img145/2377/deteccion2if1.png

http://img152.imageshack.us/img152/7153/deteccion4zo0.png

 

 

Primer fichero con el Ad aware siempre hay controversia, programas como Nero, llevan estos regalitos que segun ellos (casas de software) no es ad aware segun las casas antivirus si, en este caso presupongo que las principales casas no lo consideran ad aware.

Segun fichero no lo veo tan claro.

 

Por si acaso la recomendacion seria no ejecutarlos.

 

Saludos

Edited by Caos

Share this post


Link to post

Si, se parecen bastante a los resultados que yo obtuve en la Web VirusTotal, uno es un "posible" Ad-Aware llamado Casino (dependiendo de las convenciones de qué empresas y de qué antivirus :) ) y el otro me preocupa más porque podría ser una variación de BackDoor, que sólo algunos motores heurísticos detectan ...

 

Por descontado ni se me ha ocurrido ejecutarlos, más que nada era por ver cómo iba el KIS 7 en comparación con los demás antivirus y porque había algunos motores que si daban como malware a estos ficheros ...

 

Saludos.

 

Share this post


Link to post

Lo q mas me extraña es q los mas grandes no lo hayan identificado como virus, o malware, pero si lo has enviado a kaspersky, y ellos dicen q no es virus, me inclino a pensar que es cierto, hasta ahora no me han fallado en los casos que les he enviado.

 

De todas maneras, seguire investigando un poco mas.

 

Saludos

Share this post


Link to post

Bueno en VirusTotal, de 32 motores, 16 dicen que algo hay, si bien es verdad, como dices, que muchos de los grandes no encuentran nada, pero por ejemplo AntiVir, BitDefender, DrWeb, eSafe, F-Prot, Panda, Symantec y VBA32 entre otros, encuentran algo, si bien es verdad que algunos de esos es que tienen varios motores entre ellos de esa misma lista :) ...

 

Análisis del archivo Setup_405087_Magic_Holdem_Poker-0 recibido el 15.10.2007 21:55:19 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 13/32 (40.63%)

 

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.10.16.0 2007.10.15 -

AntiVir 7.6.0.23 2007.10.15 HEUR/Malware

Authentium 4.93.8 2007.10.14 Possibly a new variant of W32/VB-Backdoor-ESVR-based!Maximus

Avast 4.7.1051.0 2007.10.14 Win32:Trojan-gen. {VB}

AVG 7.5.0.488 2007.10.15 -

BitDefender 7.2 2007.10.15 Backdoor.Genlot.AAT

CAT-QuickHeal 9.00 2007.10.15 -

ClamAV 0.91.2 2007.10.14 -

DrWeb 4.44.0.09170 2007.10.15 BackDoor.Generic.1603

eSafe 7.0.15.0 2007.10.15 Win32.Trojan

eTrust-Vet 31.2.5213 2007.10.15 -

Ewido 4.0 2007.10.15 -

FileAdvisor 1 2007.10.15 -

Fortinet 3.11.0.0 2007.10.15 -

F-Prot 4.3.2.48 2007.10.15 W32/VB-Backdoor-ESVR-based!Maximus

F-Secure 6.70.13030.0 2007.10.15 -

Ikarus T3.1.1.12 2007.10.15 Backdoor.Genlot.AAT

Kaspersky 7.0.0.125 2007.10.15 -

McAfee 5141 2007.10.15 -

Microsoft 1.2908 2007.10.15 -

NOD32v2 2591 2007.10.14 -

Norman 5.80.02 2007.10.15 -

Panda 9.0.0.4 2007.10.15 Generic Backdoor

Prevx1 V2 2007.10.15 Heuristic: Suspicious File With Outbound Communications

Rising 19.45.02.00 2007.10.15 -

Sophos 4.22.0 2007.10.15 -

Sunbelt 2.2.907.0 2007.10.13 -

Symantec 10 2007.10.15 Backdoor.Trojan

TheHacker 6.2.8.091 2007.10.15 -

VBA32 3.12.2.4 2007.10.15 BackDoor.Generic.1609

VirusBuster 4.3.26:9 2007.10.15 -

Webwasher-Gateway 6.0.1 2007.10.15 Heuristic.Malware

 

Saludos.

Edited by harlan4096

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.