Entre estos programadores había uno que usaba el nick de Ghirai, autor del viejo programa que les traigo hoy. Este programa sirve para detectar si un archivo ha sido bindeado (unido) a otro u otros.
Por si no lo sabían hay gente que para infectar ordenadores "pega" el troyano a un archivo legítimo mediante programas llamados binders. De este modo uno piensa que está ejecutando el crack del photoshop o una animación flash o una broma, y en realidad está ejecutando un troyano oculto.
Digamos que la palabra troyano merece ser aplicada a archivos que tienen "pegado" otro archivo, este último malicioso.
Para saber si un archivo que has bajado de internet o que alguien te ha enviado por el messenger o por correo está infectado (bindeado a un troyano) puedes usar este programa. Te dirá si el archivo está o no bindeado, te dirá el tamaño de los datos "extra" que hay pegados, y el offset (dirección) en la que empiezan los datos extra. Además puede limpiar el archivo dejando únicamente el stub (archivo encargado de separar y ejecutar el troyano).
Es un programa muy util para extraer los stubs y para detectar troyanos bindeados.
Aquí una captura del análisis a un archivo limpio:
Y aquí puede verse el resultado tras analizar un archivo infectado:
Puedes descargar el programa de aquí: Fearless Bound File Detector v0.2
2 comentarios:
No descargar contiene troyano
Se trata de un falso positivo, hay una etiqueta en el blog que explica qué son los falsos positivos.
El archivo está limpio.
Publicar un comentario