Es software malicioso?

[onemore]

Descargué un software que me permite una mayor facilidad de movimiento dentro de un juego que tengo. Dicho software lo instalé y no me lanzó ningún problema de software malicioso o nada por el estilo, ni Microsoft Edge ni Kaspersky. Ahora que el software tuvo una actualización, recientemente sucedió que me pongo a revisar dónde está la raíz de ese software y le hago una prueba en VirusTotal. En VirusTotal me encuentro que el programa tiene como 14 troyanos. Me pongo a revisar el software en cuanto a sus privilegios o si tengo una fuga y nada tengo. Entonces aquí me pongo a pensar, el Kaspersky, ¿por qué no lo detectó? Y me podrían confirmar qué tipo de troyanos son estos que lanza el software. Paso link del software para que lo ejecuten en un ordenador virtual: https://drive.google.com/drive/folders/1eD0lq5mrWOID6QdssOj_mfa88q8VTjAX?usp=sharing

Les agradezco de ante mano la ayuda...

[harlan4096]

Bienveni@ a la Comunidad de Kaspersky.

 

Ya me bajé los archivos y los voy a reportar a los analistas de Kaspersky.

 

En principio dichos archivos aparecen como desconocidos por el KSN de Kaspersky, esto, a priori, no significa ni que sean malware o que no lo sean, esperemos al veredicto final de los analistas.

 

Saludos.

[harlan4096]

A ver, de los 3 archivos que has subido, solo uno tiene detecciones en VirusTotal, los otros 2 no, así que reporté solo el que las tiene, pero podría ser un simple falso positivo de las demás casas de antivirus.

[onemore]

Ok. Se me olvidó mencionar que el autor del software dijo lo siguiente: Lo agregué a un detector de IP, así que solo registra cuántas personas lo usan. El autor del software indica que él sabrá si comparten el archivo y que está prohibido. Me puse a revisar los registros que hace la aplicación y son bien raros. Ahora más tarde enviaré foto. También estuve revisándolo con PE-bear, pero como no conozco muy bien las secciones maliciosas, no llegué a nada. Y gracias por la ayuda.

[harlan4096]

Quote

Hello,

No malicious software was found in the attached file.

Best regards,
Malware Analyst, Kaspersky

 

Falso positivo de las demás casas.

[onemore]

Buenas de nuevo. Gracias por la ayuda de la vez pasada con el archivo para saber si realmente era un virus.

Vuelvo de nuevo por una reciente actualización que tuvo dicho programa donde ahora el Kaspersky sí lo detecta como un troyano. Quisiera saber si ciertamente es un troyano o de nuevo es un falso positivo. Hice lo mismo que la vez pasada, de enviarlo a VirusTotal, donde no detectó nada, pero me mostró que tenía algunas reglas de NET y ICMP. Envío capturas de pantalla donde muestro que el Kaspersky detecta el programa cuando solamente se inicia como un troyano y además me pide reiniciar la computadora para desinfectarla. Cuando le hago el escaneo al programa con Kaspersky, indica que no tiene ningún virus. Así que interpreto que hasta que lo ejecutes es que lo detecta. Además, me podrían decir que hace este troyano en sí.

Envió link del programa actualizado: https://drive.google.com/drive/folders/1eD0lq5mrWOID6QdssOj_mfa88q8VTjAX?usp=sharing

[harlan4096]

Hum en principio parece un falso positivo, si bien por lo que veo la detección solo tiene lugar cuando se ejecuta el archivo, ya que bajo demanda no se detecta nada.

[JFNoda]

Hola y con permiso de @harlan4096

Análisis del ejecutable desde Filescan[dot]io 

Slds.

[onemore]

Entonces entiendo por este mensaje que enviaste que el ejecutable es completamente malicioso. Gracias de nuevo por la ayuda y también el sitio web de pruebas ese donde lo hiciste. No lo conocía, además de solamente conocer VirusTotal. Ahora sí podemos decir que el software se volvió malicioso con su más reciente actualización.

[harlan4096]

Hum aun así 🤔 no estoy seguro, lo voy a probar en mi VM, ya que en VirusTotal no tiene ninguna detección, así que también podría ser un falso positivo.

[harlan4096]

Para replicar el problema ¿Qué opción debo elegir? 🤔

 

[onemore]

12 hours ago, harlan4096 said:

Para replicar el problema ¿Qué opción debo elegir? 🤔

 

Desde la 1 hasta la 3 son opciones que habilitan o ponen en ejecución el programa. La primera opción, que es "Ghosty", es la que apenas abre la ventana del launcher, lo detecta como un troyano Kaspersky y, aunque cierres el programa, sigue apareciendo que se está ejecutando o que necesitas que se desinfecte la computadora. La segunda opción, que es "Ghosty Admin Detector", también se detecta como troyano, pero solo cuando mantienes activada la ventana; si luego la cierras, ya no lo detecta. La tercera opción, "Both", es para que ambas opciones, como la 1 y 2, se activen al mismo tiempo; esto ocasiona que también se detecte el troyano. No cambia mucho las opciones, solo que la primera se detecta cuando está abierto y se queda así para siempre, mientras que la segunda solo cuando lo dejas abierto la ventana de cmd que ejecuta dicha opción.