www.MegaLab.it

da **ssjx** » sab apr 12, 2008 8:30 pm

Salve a tutti

ultimamente nel poco tempo libero sto smanettando parecchio al PC e tra i mille esperimenti fatti mi ritrovo con un eseguibile che in teoria non dovrebbe essere affatto un virus ma che molti software di sicurezza rilevano come tale

http://www.virustotal.com/it/analisis/7 ... 9c036375f5

Il programmino mi è molto utile per una cosa che sto facendo quindi volevo un vostro parere in merito... per chi volesse eccolo in allegato

da **poppiski** » sab apr 12, 2008 9:17 pm

mi dispiace ma non lo apro http://www.prevx.com/filenames/14240808 ... E.EXE.html

da **ballacoilupi72** » sab apr 12, 2008 9:50 pm

...dunque AVG 8 da me non mi ha rilevato niente ne scansionando l'archivio, ne estraendo il file...
[;)]

da **ste_95** » dom apr 13, 2008 5:40 am

Avira non dice nulla. Si può sapere e che cosa serve il programmino? Magari è l'euristica degli antivirus che ceffa.

da **ziofil** » dom apr 13, 2008 7:41 am

Nod 32 idem tutto ok...

da **ste_95** » dom apr 13, 2008 1:45 pm

ssjx ha scritto:Il programmino mi è molto utile per una cosa che sto facendo quindi volevo un vostro parere in merito... per chi volesse eccolo in allegato

C'entra qualcosa con Antivir?
A quanto pare crea solo un file: %Temp%\1.tmp.

da **ssjx** » dom apr 13, 2008 2:13 pm

Allora il programmino ha per l'appunto a che fare con Antivir in quanto mi permette di eseguire l'aggiornamento in automatico delle firme usando la versione commandline.... ci sto ancora lavorando (molto saltuariamente) ma sono già a buon punto

qualche giorno fa però kasperky ha cominciato a segnalarmelo come virus e lì mi è venuto il dubbio... caricato su virustotal molti altri antivirus si comportano allo stesso modo

a questo punto non saprei... immagino che pensino sia un virus perché automatizza procedure eseguite tramite file .bat .... ma è una mia supposizione [uhm]

da **ste_95** » dom apr 13, 2008 2:21 pm

Kaspersky lo riconosce appunto come file che scarica "Qualcosa" da un URL. Non ci sono istruzioni che potrebbero essere viste come nocive dall'euristica, o magari pezzi di agenti nocivi già nelle firme.

da **ssjx** » dom apr 13, 2008 2:24 pm

ste_95 ha scritto:Non ci sono istruzioni che potrebbero essere viste come nocive dall'euristica, o magari pezzi di agenti nocivi già nelle firme.

non ho capito se è una domanda (e non saprei la risposta) o no...

da **ste_95** » dom apr 13, 2008 2:26 pm

In realtà era una domanda, perché francamente credo che la causa possa essere solo quella. [fischio]

da **ssjx** » dom apr 13, 2008 2:47 pm

Onestamente non saprei che dirti... ti mando l'eseguibile originale (ovvero il pacchetto completo... questo b2e è solo una parte) così se vuoi puoi giocarci anche tu [:)]

da **ste_95** » dom apr 13, 2008 5:01 pm

Falso positivo lo è sicuramente, ma credo capirai che si tratta comunque di un file che si connette a server remoti e scarica file, e quindi ha tutte le caratteristiche di un dropper.

da **ssjx** » dom apr 13, 2008 5:08 pm

bene ed anche questo arcano è risolto [^]

www.MegaLab.it

Falso positivo

Falso positivo

Re: Falso positivo

Chi c’è in linea