Foro de Ayuda IntercambiosvirtualeS - Ver Mensaje Individual

**toxinon12345** · 19-jul-2010

Observé el reporte de Edu24x y aparece que el keygen.exe es detectado unicamente por la heuristica o simplemente porque el archivo tambien pudo haberse codificado/obfuscado

con una herramienta poco comun o desconocida, al parecer una modificacion del PEBundle y PECompact.
de modo que la deteccion puede ser incorrectamente clasificada como malware, en vez de hacerlo como un greyware:

Por ejemplo, el a-squared, AntiVir, eSafe y TrendMicro advierten de un packer que no conocen.
Por otro lado al CAT'QuickHeal la heuristica detecta un comportamiento sospechoso.
SuperAntispyware lo detecta como un Goteador de Malware, quizas por el packer

En el otro reporte del archivo patch.exe En este caso se ve que algunos sí crearon firmas especificas para detectar este programa, como lo vemos en:
Avira,Fortinet, Ikarus, nProtect, Panda, Sophos y VirusBuster
================================================== ===============
Archivo: Patch.exe
================================================== ===============
CRC32: 8CACA1B7
MD5: 0B1DAD7376F6A300940A0BB6976CBD2A
SHA-1: 85ECAEE2ACCD94DB8417C27696000480636F1A34
Whirlpool:

C68561583C2A51203FE3073A0DF3CE29CD368E3612FEF3A247 D90E3ECF4516A4618A0FF8480DB254461AC40AA2B36EC4EC65 EAB8AE8EDEEB8D8959C0D0D8F6

AD

00:05 a.m. ==> Código malicioso encontrado, programa potencialmente peligroso (PUsA)

una variante de Win32/HackTool.PATCHER.A [PUsA]

Noten que no es una alerta roja, sino una Advertencia Naranja

Informacion Adicional , Material extraido de la pagina de Microsoft: http://www.microsoft.com/security/po...in32%2FPatch.A

Resumen:
HackTool: Win32/Patch.A es una deteccion genérica para una serie de herramientas de hacking, entendidas para "modificar" programas que pueden ser copias de evaluacion, o

versiones no registradas con caracteristicas limitadas.
Sintomas:
HackTool:Win32/Patch.A es un programa interactivo que NO se ejecuta automaticamente en el inicio de Windows, o corra como proceso oculto.
Instalacion:
Cuando se ejecuta, esta herramienta puede crear el archivo "<system folder>\bassmod.dll" el cual generalmente no es malicioso. Win32/Patch puede mostrar varios dialogos en la

interfaz de usuario, como podemos observar aca abajo:

Aplicaciones potencialmente peligrosas, es la clasificacion usada para programas tales como herramientas de acceso remoto en red, aplicaciones para romper contraseñas y

registradores de pulsaciones,etc cuya clasificacion es de debate ya que sus intenciones no son claras, sino mas bien que esto depende del usuario.

La deteccion de este tipo de aplicaciones es muy util en el ambiente corporativo, ya que evita que estos programas caigan en las manos equivocadas y terminen violando la politica de seguridad o de privacidad que tiene la empresa.

Me parece muy buena la idea de usar la Defensa Proactiva de Kaspersky, esto no es mas que un HIPS y te informa de cualquier cambio en el registro asi como de archivos, tambien pueden usar el DefenseWallHIPS o el GhostSecurity.

PD: Aunque la heuristica actual de muchos antivirus ya es muy precisa/exacta
La proxima vez que ocurra una inquietud o duda de este tipo, envien un correo al laboratorio de su proveedor de seguridad con el archivo adjunto en un RAR/ZIP con una contraseña

Saludos, Toxinon

19-jul-2010	#9
toxinon12345 Ayudante Frecuente Ingreso: julio-2010 Mensajes: 112 Sexo: País: Signo: Agradecido: +240	probablemente un grayware Observé el reporte de Edu24x y aparece que el keygen.exe es detectado unicamente por la heuristica o simplemente porque el archivo tambien pudo haberse codificado/obfuscado con una herramienta poco comun o desconocida, al parecer una modificacion del PEBundle y PECompact. de modo que la deteccion puede ser incorrectamente clasificada como malware, en vez de hacerlo como un greyware: Por ejemplo, el a-squared, AntiVir, eSafe y TrendMicro advierten de un packer que no conocen. Por otro lado al CAT'QuickHeal la heuristica detecta un comportamiento sospechoso. SuperAntispyware lo detecta como un Goteador de Malware, quizas por el packer En el otro reporte del archivo patch.exe En este caso se ve que algunos sí crearon firmas especificas para detectar este programa, como lo vemos en: Avira,Fortinet, Ikarus, nProtect, Panda, Sophos y VirusBuster ================================================== =============== Archivo: Patch.exe ================================================== =============== CRC32: 8CACA1B7 MD5: 0B1DAD7376F6A300940A0BB6976CBD2A SHA-1: 85ECAEE2ACCD94DB8417C27696000480636F1A34 Whirlpool: C68561583C2A51203FE3073A0DF3CE29CD368E3612FEF3A247 D90E3ECF4516A4618A0FF8480DB254461AC40AA2B36EC4EC65 EAB8AE8EDEEB8D8959C0D0D8F6 AD 00:05 a.m. ==> Código malicioso encontrado, programa potencialmente peligroso (PUsA) una variante de Win32/HackTool.PATCHER.A [PUsA] Noten que no es una alerta roja, sino una Advertencia Naranja Informacion Adicional , Material extraido de la pagina de Microsoft: http://www.microsoft.com/security/po...in32%2FPatch.A Resumen: HackTool: Win32/Patch.A es una deteccion genérica para una serie de herramientas de hacking, entendidas para "modificar" programas que pueden ser copias de evaluacion, o versiones no registradas con caracteristicas limitadas. Sintomas: HackTool:Win32/Patch.A es un programa interactivo que NO se ejecuta automaticamente en el inicio de Windows, o corra como proceso oculto. Instalacion: Cuando se ejecuta, esta herramienta puede crear el archivo "<system folder>\bassmod.dll" el cual generalmente no es malicioso. Win32/Patch puede mostrar varios dialogos en la interfaz de usuario, como podemos observar aca abajo: Aplicaciones potencialmente peligrosas, es la clasificacion usada para programas tales como herramientas de acceso remoto en red, aplicaciones para romper contraseñas y registradores de pulsaciones,etc cuya clasificacion es de debate ya que sus intenciones no son claras, sino mas bien que esto depende del usuario. La deteccion de este tipo de aplicaciones es muy util en el ambiente corporativo, ya que evita que estos programas caigan en las manos equivocadas y terminen violando la politica de seguridad o de privacidad que tiene la empresa. Me parece muy buena la idea de usar la Defensa Proactiva de Kaspersky, esto no es mas que un HIPS y te informa de cualquier cambio en el registro asi como de archivos, tambien pueden usar el DefenseWallHIPS o el GhostSecurity. PD: Aunque la heuristica actual de muchos antivirus ya es muy precisa/exacta La proxima vez que ocurra una inquietud o duda de este tipo, envien un correo al laboratorio de su proveedor de seguridad con el archivo adjunto en un RAR/ZIP con una contraseña Saludos, Toxinon Última edición por toxinon12345; 19-jul-2010 a las 21:31

Los siguientes 3 usuarios agradecen a toxinon12345 por este mensaje:
felcon (20-jul-2010), luxure07 (20-jul-2010), wolfito (20-jul-2010)