domingo, 11 de outubro de 2009
Loading...
Pois é… o assunto vírus de computador esta em alta aqui pelo meu lado! Depois do episódio do maldito Win32.Virut eu despiroquei e instalei o AVIRA na opção “mala sem alça” que desconfia até a da própria sombra e ativei o shell guard, coisa que eu nunca gostei, afinal o anti-virus lerdeia o operação de explorar uma pasta, pois ele fica o tempo todo xeretando nas entranhas dos arquivos. Ou seja, me rendi.
Mas desde ontem, futucando com meu cd personalizado do windows 2000 (HFSLIP nele!), o avira vivia reclamando que alguns arquivos estão infectados com o TR/Dropper.Gen.
Bom, depois de muito bater testa e não agüentar mais o avira reclamando dos “vírus” (falso-positivo) resolvi investigar o caso. Abri um dos arquivos no HEX WORKSHOP, apesar dos insistentes avisos do anti-vírus e me lembrei que esses arquivos foram gerados pela ferramenta IEXPRESS, presente no próprio windows.
Mas se são arquivos que eu mesmo gerei e partir de um ambiente limpo, o que esta errado? Tudo ai não passa de instaladores de programas reempacotados e com as chaves de linha de comando para se instalar com os parâmetros comuns sem fazer pergunta, que é utilizado para auto-instalação no cd do windows.
Resolvi refazer um dos pacotes, para ver em que ponto do processo acontecia o falso-positivo. Peguei um dos pacotes que acusavam vírus e extrai os arquivos de dentro dele, nos arquivos… nada, tudo limpo.
Iniciei o IEXPRESS, adicionei os mesmíssimos arquivos e gerei o pacote como era antes. Até ai, nada de acusar vírus. Abri o pacote finalizado no RESHACKER para trocar o ícone padrão do IEXPRESS, quando mandei salvar o arquivos, surpresa! O avira apitou! Enfim, a combinação do pacote gerado pelo IEXPRESS, e a recompilação do resource pelo RESHACKER, para a troca do ícone, gera o falso positivo.
Experimentei outra ferramente para trocar o ícone, no caso o EXESCOPE, e problema resolvido!
Veja a analise do site virustotal em cima de um arquivo com falso-positivo:
O arquivos ai não tem nada demais… dentro dele tem o instalado do winamp 5.52, o arquivo de registro do winamp com os parametros iniciais que eu quero. O pacotinho extrai os arquivos na pasta /temp executa o comando “regedit /S winamp_config.reg” e incia o winamp.exe com os paramentro “/VERYSILENT /SP- /TASKS=dekstopicon,startmenuicon,quicklaunchicon”
Vai entender…
4:30 AM | 
Luciano | 
0
Badulaques da China
