Rat Detector v1.0

Este programa escrito por BUGGz en Delphi sirve para detectar si tenemos instalado alguno de los siguientes troyanos:

Bifrost 1.0.1.1
Bifrost 1.0.1.2

ProRat 1.9
ProRat 1.9 SE

Optix Lite Firewall Bypass

Nuclear Rat 7

El programa es detectado por:



Lógicamente se trata de un falso positivo así que no se asusten.

Este programa no limpia la infección. Solo nos advierte de ella.

Pinchando en las distintas pestañas el programa nos mostrará si estamos infectados por alguno de esos troyanos. En la siguiente imagen vemos que indica que estamos limpios del bifrost:



En la siguiente captura vemos como se mostraría una infección, en este caso el ordenador está infectado por el ProRat:



Descarga Rat Detector.

BATCH-O-MATIC v7.6

Hoy traigo un viejo generador de virus batch (del año 2003), escrito por SAD1c en C++. El programa está bastante completo y nos permite configurar muchas funciones del virus, al final creará un archivo que podemos abrir con un editor de texto para ver el código del virus.

Es un programa muy útil si estás aprendiendo a escribir virus en batch ya que podrás sacar un montón de ideas de los distintos códigos que genera BATCH-O-MATIC.

Al abrir el programa esto es lo que vemos:



En la parte superior izquierda tenemos una caja que contiene una lista, la lista empieza por Comments, y en la parte inferior del programa nos muestra unos campos a editar. Según avanzamos por la lista veremos abajo las opciones que nos permite editar el programa, personalizando así nuestro virus.






Como podeis ver en las imágenes tiene muchas opciones, os pongo capturas de un par más:





Una vez configurados los distintos campos le damos al botón Create:



Nos saldrá una advertencia donde el autor nos dice que esparcir virus es un crimen, esta advertencia no es ninguna broma, este programa debe emplearse para aprender y no para dañar equipos.



Marcamos la casilla y veremos el botón Write to file. Le damos y se nos abrirá una ventana para guardar el virus, le ponen un nombre y lo guardan con la extensión que habían configurado previamente.



Si quieres probar los virus utiliza un ordenador que sea de tu propiedad, no andes jodiendo a la gente.

Descargar el programa BATCH-O-MATIC.

Los falsos positivos

A raiz de un comentario en la entrada del fearless bound file detector he decidido incluir una reseña en el blog sobre los falsos positivos.

Muchas veces los antivirus detectan archivos que no entrañan ningún riesgo para el ordenador, miren por ejemplo el resultado de virus total al escanear el fearless bound file detector:

Antivirus Version Last update Result
AhnLab-V3 2010.11.27.00 2010.11.26 Win-Trojan/Packed.8192.C
AntiVir 7.10.14.125 2010.11.26 TR/Renaz.7771
Antiy-AVL 2.0.3.7 2010.11.27 -
Avast 4.8.1351.0 2010.11.26 Win32:Neptunia-ADW
Avast5 5.0.594.0 2010.11.26 Win32:Neptunia-ADW
AVG 9.0.0.851 2010.11.27 Generic6.LMW
BitDefender 7.2 2010.11.27 Trojan.Packed.25637
CAT-QuickHeal 11.00 2010.11.26 Trojan.Agent.IRC
ClamAV 0.96.4.0 2010.11.27 PUA.Packed.FSG-1
Command 5.2.11.5 2010.11.26 W32/Heuristic-210!Eldorado
Comodo 6860 2010.11.27 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.11.26 -
eSafe 7.0.17.0 2010.11.24 Win32.Dx
eTrust-Vet 36.1.8003 2010.11.26 -
F-Prot 4.6.2.117 2010.11.26 W32/Heuristic-210!Eldorado
F-Secure 9.0.16160.0 2010.11.26 Trojan.Packed.25637
Fortinet 4.2.254.0 2010.11.26 -
GData 21 2010.11.27 Trojan.Packed.25637
Ikarus T3.1.1.90.0 2010.11.26 Virus.Win32.Trojan
Jiangmin 13.0.900 2010.11.26 -
K7AntiVirus 9.69.3095 2010.11.26 Riskware
McAfee 5.400.0.1158 2010.11.27 Generic.dx
McAfee-GW-Edition 2010.1C 2010.11.26 Heuristic.LooksLike.Win32.Suspicious.J
Microsoft 1.6402 2010.11.26 -
NOD32 5652 2010.11.26 probably a variant of Win32/Agent.HWUXQG
Norman 6.06.10 2010.11.26 Suspicious_F.gen
nProtect 2010-11-26.01 2010.11.26 Trojan/W32.Agent.7771
Panda 10.0.2.7 2010.11.27 Generic Trojan
PCTools 7.0.3.5 2010.11.27 -
Prevx 3.0 2010.11.27 Medium Risk Malware
Rising 22.75.03.04 2010.11.26 Trojan.Win32.Generic.5221B2FB
Sophos 4.60.0 2010.11.27 Mal/Packer
SUPERAntiSpyware 4.40.0.1006 2010.11.27 -
Symantec 20101.2.0.161 2010.11.27 -
TheHacker 6.7.0.1.091 2010.11.26 -
TrendMicro 9.120.0.1004 2010.11.26 TROJ_Generic
TrendMicro-HouseCall 9.120.0.1004 2010.11.27 TROJ_Generic
VBA32 3.12.14.2 2010.11.26 Trojan.Win32.Refroso.atkb
VIPRE 7423 2010.11.27 Trojan.Win32.Generic!BT
ViRobot 2010.11.19.4158 2010.11.26 -
VirusBuster 13.6.62.0 2010.11.26 Packed/FSG

MD5: 6cd9ae63a343ba86654d0e077b6ab950
SHA1: a391c271b39725fae46bb60336c0f44f831a873a
SHA256: fd4afc971e7fc66e5f302258048a4cc7a0a00226f50d06de01a671c53987edc6
File size: 7771 bytes
Scan date: 2010-11-27 02:02:28 (UTC)



Como podeis ver no se ponen muy de acuerdo acerca de como detectarlo, y de todos ellos quizás el que más se acerca es Kaspersky al calificarlo como riskware, ya que se trata de una herramienta escrita por un grupo de hackers, autores de otros programas mucho más malignos.

Un falso positivo es aquel que se produce cuando un antivirus advierte de peligro y en realidad no existe ningún riesgo. Y son mucho más frecuentes de lo que la gente piensa, de hecho cada vez son más frecuentes.

Por desgracia para los usuarios de ordenadores los antivirus no gustan de explicar como es su funcionamiento pues su estrategia principal de marketing es el miedo, cuanto más asustados esten los usuarios mayor será su confianza en los antivirus.

Para mayor desgracia de los usuarios solo existe un modo de saber si un archivo está o no limpio y ese modo requiere conocimiento y tiempo, la única manera de asegurarse realmente de si un archivo está infectado es analizándolo a manivela con programas específicos como editores hexadecimales, depuradores, etc.

Los mortales tendremos que seguir fiándonos de lo que nos dicen los antivirus pues el conocimiento necesario para analizar malware es muy amplio y requiere mucha dedicación. En este mundo gobernado por las prisas no hay nada peor que depositar nuestra confianza en un automatismo como por ejemplo nuestro antivirus favorito.

Y el problema no termina aquí, en el pobre usuario, sino que alcanza a los programadores, un falso positivo en una aplicación completamente limpia trae como consecuencia que los usuarios no usen la aplicación por miedo. Imaginen que son programadores y acaban de terminar un programa despues de meses de duro trabajo, lo ponen en internet para beneficio de todos y resulta que algunos antivirus dan un falso positivo al analizarlo. Muchos usuarios, por miedo, no se atreverán a probar su programa.

El efecto del falso positivo funciona como la publicidad dañina y falsa que se genera en torno a determinados productos, hundiéndolos.

Un ejemplo claro de esto último lo tenemos en McAffe y su falso positivo al analizar archivos legítimos de Windows.

Podemos encontrar ejemplos en los que los antivirus dan falsos positivos al analizar archivos de la competencia, sí, un antivirus detectando otro antivirus.

Es también común la detección de cracks y keygens como virus, principalmente porque los cracks y keygens son programas que se saltan las protecciones de los programas permitiendonos usarlos de manera gratuita.

Incluso las bromas para ordenadores son detectadas por los antivirus.