Locked Duda sobre detecciones AV, sólo para entendidos en [Vbnet]

[r3spald0]

Hola hermanos de Level-23.Cc.

 

Tengo una duda de detecciones de AV,, como es posible, que creo una aplicación Vbnet sin ningun server, ni nada malo en su interior, y si le hago un scanner, me detecta la firma Droper.Gen....?

 

Porque siendo un archivo inofensivo me detecta esta firma....?, que es lo que detecta en el proyecto vbnet como amenaza...?.

 

Y ya no digamos si le cambio el icono antes de compilar y le pongo un icono jpeg.ico, aqui es cuando se me suben las firmas a 24/34.

 

Repito es un archivo inofensivo, sino le cambio el icono tengo firma dropper.Gen, si le cambio el icono, se me suben las detecciones.

 

Lo único que hace el archivo es autoleerse,hace un split, y separa los archivos ejecutandolos en la carpeta TEMP, un archivo es un jpeg, y el otro un exe inofensivo.

 

 

Existe alguna solución que me aconsejeis vosotros, o darme algo de luz, por favor....!

 

He probado utilizando ofuscadores aqui compartidos en el Foro y lo único que hacen es de guatemala a guatepeor.

 

Thanks to read de post.

[0b3y]

Re: Duda sobre detecciones AV, sólo para entendidos en [Vbnet]

 

Muchas veces los AV te lo detectan como virus porque estas usando una función que has cogido de Internet y esta ha sido usada en algun malware y es detectado como tal.

Si todo el codigo es tuyo pues posiblemente el mero hecho de dejar dos archivos en TEMP y que justo sea una foto y un exe es MUY sospechoso asique no se arriegan y te lo detecta. Lo de cambiar el icono por un jpg es ya lo mas cantoso que puedes hacer :ewer: , lo próximo ya seria poner un cartelito a los antivirus diciendo: "Soy un virus!"

Mi recomendacion es que no los tires en la carpeta TEMP , escoje alguna otra donde soltarlos, también prueba a cambiar partes del código, alomejor si pasas parte del codigo a binario y despues lo vuelves a cambiar ya te bajan las firmas. sarcastic_blum

Por lo que has contado no creo que tu programa sea muy inofensivo por la descripcion que has dado yess1

[r3spald0]

Re: Duda sobre detecciones AV, sólo para entendidos en [Vbnet]

 

Jajajaja, es cierto que dificilmente pueda pasar por inofensivo, pero si lo es en primera instancia, ya que no tiene nada de nada..

El código es mio y de microsoft, porque no he hecho ningun copy paste, pero claro que llevas toda la razón del mundo, que si le coloco a un exe un icono jpeg la verdad es ponerle un cartelito.

 

Por otro lado y dejando lo que te he comentado, lo extraño es que poniendo el icono default vbnet ya de entrada tengo la garrapata dropper.gen de avira, y esto es lo que no entiendo.

 

Quizas avira sospecha del moviemiento en la carpeta temp, y de las extraccines que hace del jpeg y del .exe y lo califica como dropper.gen.

 

Tendré que investigar sobre este tema porque si creo cualquier aplicación de escritorio y sin nada de nada me lo detecta como dropper.gen, entonces tendré que empezar a pensar en programar en otro Lenguaje.

 

Si quieres pasate por la sección de Tools y verás mi binder en Java en el cual he utilizado una parte de vbnet para poder realizar un iconchanger y asi lo comprenderas mejor

 

Saludos y gracias por tu pronta respuesta un abrazo sin mariconadasyess1

[r3spald0]

Re: Duda sobre detecciones AV, sólo para entendidos en [Vbnet]

 

Muchas gracias Bravus por tu comentario, pero en este caso en concreto no hago injección en ningun proceso, lo único que hace es autoleerse, ver donde está el jpeg y donde esta un archivo java, los localiza y los mueve a TEMP, aqui ejecuta el java.

 

Es por eso que no entiendo porque un vbnet exe sin troyano , sin injección y sin nada de nada lo detecta como Dropper.gen cuando lo único que hace es lo descrito arriba.

 

Estoy pensado hacer unas cosillas que tengo en mente utilizando un mdi y probando unas cosas que se me han ocurrido a ver si podemos quitar ese dropper.gen, en vb6 he visto unos tutoriales de sudo y estan de madre.