Visualizza messaggio singolo
Vecchio 27-11-2014, 23.25.46   #1
retalv
Forum supporter
WT Expert
 
L'avatar di retalv
 
Registrato: 13-03-2005
Loc.: Ultima stella a destra
Messaggi: 2.780
retalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raro
Antivirus o presa per il c..o?

Questa è bella e merita raccontarla...

Come qualcuno saprà, mi diverto nella piccola programmazione con AutoIt, una suite che permette di trasformare i propri scripts in eseguibili standalone (.exe).

Come sapranno i più, questo linguaggio ad alto livello è stato spesso usato per generare malware, quindi molti antivirus sono schizzinosi a considerare questi eseguibili non firmati come sicuri, ma sapendolo ti adatti e spesso risolvi con semplici vie traverse o semplicemente accettando il dato di fatto.

Veniamo al dunque: stavo costruendo un loader per un software portable, qundo mi viene in mente di far "macinare" a VirusTotal l'eseguibile.

C'è un semplice trucchetto per provare ad ingannare gli antivirus meno furbi, cioè caricare un'icona di programma più corposa di quella di default facendo "scivolare" di qualche centinaio di kb sia lo script registrato nel software sia l'interprete... a volte funziona...

Ho mandato a VirusTotal l'eseguibile e mi ritornano tre avvertimenti di errore su altrettanti antivirus su un totale di 56: ci sta...

Tento di modificare lo script per eludere la rivelazione farlocca (ci sono diverse scritture al registro di sistema in modalità amministrativa) ma nulla... arrivo fino a scrivere un semplice eseguibile di prova con...

MsgBox(0, "pippo", "pluto", 5)

che apre una semplice finestra con titolo pippo e corpo pluto e attende 5 secondi prima di chiudersi, ma nulla... la rilevazione permane...

Considerando che da diversi mesi non uso antivirus in background ma solo MalwareBytes e COMODO Cleaning Essentials on demand, mi viene il dubbio... hai visto mai che ci sono cascato dentro?

"...è strano... mi collego alla rete solo in virtuale ... ma tutto può essere."
... ho pensato, quindi do una passata con i soliti due antivirus e non trovo nulla, guardo con gmer per i rootkit ma nulla. Visto che una delle tre rilevazioni è data da McAfee-GW-Edition (BehavesLike.Win32.Dropper.dh alias un troian "...e cosa ci fa un troian in un eseguibile appena compilato?") scarico la trial di McAfee Antivirus Plus (non è McAfee Web Gateway ma il suo sporco lavoro di prova per 30gg dovrebbe farlo) per dare una ripassata a tutto il sistemuzzo (4 dischi divisi in 12 partizioni).

Bene... mi iscrivo, scarico, installo, aggiorno, avvio il check completo del sistema (tabula rasa, analisi di tutti i files compresi sia quello/i incriminato/i sia quelli di testo ) dando piena potenza al sistema antivirus (CPU al 100% che si intervalla a 8GB di memoria occupati) ed esco di casa.

Dopo 4 ore torno e trovo la scansione quasi completata (minacce rilevate 0): passa un'altra oretta e termina.

Minacce rilevate... 0 (zero)!

La domanda sorge spontanea. "Mi stai piglianno pu u' culo?!"

Avete un risposta logica a questa amletica domanda?
retalv non è collegato   Rispondi citando