Adicionem o novo domínio do blog aos seus favoritos! www.crashcomputer.com.br

Postagens com a tag ‘Falso-positivo’

   domingo, 11 de outubro de 2009

Ainda falando sobre vírus…



1 Star2 Stars3 Stars4 Stars5 Stars (Nenhum voto, seja o primeiro!)
Loading...

Pois é… o assunto vírus de computador esta em alta aqui pelo meu lado! Depois do episódio do maldito Win32.Virut eu despiroquei e instalei o AVIRA na opção “mala sem alça” que desconfia até a da própria sombra e ativei o shell guard, coisa que eu nunca gostei, afinal o anti-virus lerdeia o operação de explorar uma pasta, pois ele fica o tempo todo xeretando nas entranhas dos arquivos. Ou seja, me rendi.

Mas desde ontem, futucando com meu cd personalizado do windows 2000 (HFSLIP nele!), o avira vivia reclamando que alguns arquivos estão infectados com o TR/Dropper.Gen.

Bom, depois de muito bater testa e não agüentar mais o avira reclamando dos “vírus” (falso-positivo) resolvi investigar o caso. Abri um dos arquivos no HEX WORKSHOP, apesar dos insistentes avisos do anti-vírus e me lembrei que esses arquivos foram gerados pela ferramenta IEXPRESS, presente no próprio windows.

Mas se são arquivos que eu mesmo gerei e partir de um ambiente limpo, o que esta errado? Tudo ai não passa de instaladores de programas reempacotados e com as chaves de linha de comando para se instalar com os parâmetros comuns sem fazer pergunta, que é utilizado para auto-instalação no cd do windows.

Resolvi refazer um dos pacotes, para ver em que ponto do processo acontecia o falso-positivo. Peguei um dos pacotes que acusavam vírus e extrai os arquivos de dentro dele, nos arquivos… nada, tudo limpo.

Iniciei o IEXPRESS, adicionei os mesmíssimos arquivos e gerei o pacote como era antes. Até ai, nada de acusar vírus. Abri o pacote finalizado no RESHACKER para trocar o ícone padrão do IEXPRESS, quando mandei salvar o arquivos, surpresa! O avira apitou! Enfim, a combinação do pacote gerado pelo IEXPRESS, e a recompilação do resource pelo RESHACKER, para a troca do ícone, gera o falso positivo.

Experimentei outra ferramente para trocar o ícone, no caso o EXESCOPE, e problema resolvido!

Veja a analise do site virustotal em cima de um arquivo com falso-positivo:

https://www.virustotal.com/analisis/1396be4eaa7f59acaf906a38867fe256cc72ef438616df75402a1c7184cbc66f-1255244530

O arquivos ai não tem nada demais… dentro dele tem o instalado do winamp 5.52, o arquivo de registro do winamp com os parametros iniciais que eu quero. O pacotinho extrai os arquivos na pasta /temp executa o comando “regedit /S winamp_config.reg” e incia o winamp.exe com os paramentro “/VERYSILENT /SP- /TASKS=dekstopicon,startmenuicon,quicklaunchicon”

Vai entender…



  Melhor visualizado a
1024 x 768 True color
Proudly powered by WordPress. Theme developed with WordPress Theme Generator.
E altamente gambiarrado por mim mesmo :)
Copyright © 2010 by Crash Computer. All rights reserved.