[Reporte] Archivo Infectado?

[Nicko360]

Bueno muchachos, quiero que me saquen las dudas... todo comienza en el chat cuando me comentaron que no podian activar Este Programa . Como siempre Plata tan servicial, lo bajé pero me salto el cartelito del Antivirus diciendo que tenia un bichito , pense que era un falso positivo... pero como me ponia un virus con nombre busqué en Google y me saltaron varios resultados de que dicho virus existe, y supuestamente es peligroso.

Aca La sugerencia, sugiero que lo analizen ustedes SIN NOD32 y me digan, al parecer Nod32 no indica nada, el Keygen y Patch del Post supuestamente no funcionan, por lo que parece que si es un virus... Sugiero que lo analicen, les dejo mi Captura de Pantalla de Avira en detección.



Entrada en cuestión: http://www.intercambiosvirtuales.org...os-a-su-webcam

espero solo sea una falsa alarma, o que sirva para algo. Saludos

[sauron]

Pues compa, lo busqué en google y la mayoría de resultados están en chino y de la página de avira, el cual no me extraña, ya que es casi el primero siempre en marcar los keygens y demás como malignos.

http://www.google.co.ve/#hl=es&q=TR%...c2fd8536daeae7

Recuerda que los parches, las compañías de AV los marcan como malwares y trojans, al ser marcados así, las demás páginas de "seguridad" le siguen el eco.

[Nicko360]

si, lo extraño es que los falsos siempre son TR/Agent este tiene nombre.. por eso no me cierra..

[Edu24x]

A mí Avast no me ha detectado nada. Este reporte del keygen no parece indicar virus, aunque no puedo asegurarlo:



Sin embargo, el análisis del Patch, indica presencia de virus:




http://www.virustotal.com/es/analisi...492-1279521257

Un saludo Nicko y gracias por tu interés.

[jimmy_criptoy]

No es mi post, pero en los mios cuando subo algo veo lo siguiente, primero que el crack/keygen (medicina en general), sea creada por un grupo conocido y que haya sido filtrado por personas de reputación (no voy a ir a T! bajar algo y postear aqui, eso no se hace ).

Generalmente (no todos) las medicinas son liberadas por grupos (team, segun quieran llamarle), luego son revisadas en la "scene" para ser catalogados y filtrados. si la medicina contiene algo o no funciona son bloqueadas (etiquetados como nuked y su respectivo argumento por el cual fue bloqueado), por ejemplo aqui pueden ver cuales fueron bloqueadas: http://pre.scenedb.org/?preq=webcammax&preex=

Lo mismo sucede para juegos, peliculas, y demas cosas que se comparten en la red.

Si tienen dudas lo recomendable es usar las medicinas bajo "sandboxie". Se recomienda no usar medicinas de sitios webs abiertos (donde cualquiera puede subir algo) ahi es donde suelen colocar la medicina con algo mas (medicina infectada ).

Saludos !!

[felcon]

Creo que es un poco complicado el asunto de las medicinas y keygen para los programas ya que las mayorias al arrancar son detectadas como virus y muchas veces tenemos que desactivar nuestro antivirus para instalar... Habria que cortar por lo mas sano y escanear primero y si sale alguno buscarlo por internet para saber que hace y que no hace..... Interesante el tema saludos

[sauron]

Allí lo único que se puede hacer es usar un software de seguridad avanzado, como la defensa proactiva del Kaspersky, el cual avisa si hay un cambio en el registro, instalación de algún driver, etc.

Si al ejecutar el parche, no hay algún tipo de alarme, a excepción de que dice de que el archivo en sí es un malware, no hay problema, eso es lo que hago yo.

También el Kasperky tiene una "ejecución segura", otros software trabajan parecido con un entorno de seguridad.

[Nicko360]

Creo que termina siendo un falso positivo más como costumbre, aunque parece que le Patch no funciona y es en el que se detecta virus..., el Keygen opera correctamente... pueden cerrar el tema creo yo. [X] En todo caso, saquen el patch del Archivo.. y dejenlo unicamente cn el Keygen

[toxinon12345]

Observé el reporte de Edu24x y aparece que el keygen.exe es detectado unicamente por la heuristica o simplemente porque el archivo tambien pudo haberse codificado/obfuscado

con una herramienta poco comun o desconocida, al parecer una modificacion del PEBundle y PECompact.
de modo que la deteccion puede ser incorrectamente clasificada como malware, en vez de hacerlo como un greyware:

Por ejemplo, el a-squared, AntiVir, eSafe y TrendMicro advierten de un packer que no conocen.
Por otro lado al CAT'QuickHeal la heuristica detecta un comportamiento sospechoso.
SuperAntispyware lo detecta como un Goteador de Malware, quizas por el packer

En el otro reporte del archivo patch.exe En este caso se ve que algunos sí crearon firmas especificas para detectar este programa, como lo vemos en:
Avira,Fortinet, Ikarus, nProtect, Panda, Sophos y VirusBuster
================================================== ===============
Archivo: Patch.exe
================================================== ===============
CRC32: 8CACA1B7
MD5: 0B1DAD7376F6A300940A0BB6976CBD2A
SHA-1: 85ECAEE2ACCD94DB8417C27696000480636F1A34
Whirlpool:

C68561583C2A51203FE3073A0DF3CE29CD368E3612FEF3A247 D90E3ECF4516A4618A0FF8480DB254461AC40AA2B36EC4EC65 EAB8AE8EDEEB8D8959C0D0D8F6

AD

00:05 a.m. ==> Código malicioso encontrado, programa potencialmente peligroso (PUsA)

una variante de Win32/HackTool.PATCHER.A [PUsA]

Noten que no es una alerta roja, sino una Advertencia Naranja


Informacion Adicional , Material extraido de la pagina de Microsoft: http://www.microsoft.com/security/po...in32%2FPatch.A

Resumen:
HackTool: Win32/Patch.A es una deteccion genérica para una serie de herramientas de hacking, entendidas para "modificar" programas que pueden ser copias de evaluacion, o

versiones no registradas con caracteristicas limitadas.
Sintomas:
HackTool:Win32/Patch.A es un programa interactivo que NO se ejecuta automaticamente en el inicio de Windows, o corra como proceso oculto.
Instalacion:
Cuando se ejecuta, esta herramienta puede crear el archivo "<system folder>\bassmod.dll" el cual generalmente no es malicioso. Win32/Patch puede mostrar varios dialogos en la

interfaz de usuario, como podemos observar aca abajo:





Aplicaciones potencialmente peligrosas, es la clasificacion usada para programas tales como herramientas de acceso remoto en red, aplicaciones para romper contraseñas y

registradores de pulsaciones,etc cuya clasificacion es de debate ya que sus intenciones no son claras, sino mas bien que esto depende del usuario.

La deteccion de este tipo de aplicaciones es muy util en el ambiente corporativo, ya que evita que estos programas caigan en las manos equivocadas y terminen violando la politica de seguridad o de privacidad que tiene la empresa.

Me parece muy buena la idea de usar la Defensa Proactiva de Kaspersky, esto no es mas que un HIPS y te informa de cualquier cambio en el registro asi como de archivos, tambien pueden usar el DefenseWallHIPS o el GhostSecurity.

PD: Aunque la heuristica actual de muchos antivirus ya es muy precisa/exacta
La proxima vez que ocurra una inquietud o duda de este tipo, envien un correo al laboratorio de su proveedor de seguridad con el archivo adjunto en un RAR/ZIP con una contraseña

Saludos, Toxinon

[toxinon12345]

Actualizacion - 19 de julio a las 02:03 pm, el Parchador modifica el webcam.exe correctamente para que el algoritmo del generador de llaves funcione.

Por favor, aplicar estos pasos.

1-Desempaca e instala el programa
2-Modifica/Crackea (o como prefieran llamarle Parchar :D) el webcammax.exe usando el parchador.
3-Introduce un codigo de maquina erroneo (machineCodeID invalido), y corta la conexion a Internet antes de darle en el boton OK.
4-Elige activacion Manual
5-Copia tu MachineCode en el campo Code del Generador de Numeros de Serie y haz click en Generar
6-Copia tu Unlock en el campo Unlock Code del programa y luego click en OK
7-Haz activado satisfactoriamente WebCamMax en tu PC!

PD: En cualquier caso, el patcher hace una copia de seguridad del archivo original (MD5: 0B1DAD7376F6A300940A0BB6976CBD2A)
Lo de si el patcher realizara acciones malintencionadas a escondidas, quedaria pendiente. Bye.