Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos

Como todos ya sabemos,una de nuestras amplias recomendaciones es la de Subir a Virus Total cualquier archivo que creamos sospechoso.

Hoy subí uno de los programas que indudablemente hemos llegado a usar;por los beneficios de cortar y unir archivos El efecto hablo del conocidisimo Hacha

Hasta ahora lo había considerado un programa confiable,pero al analizarlo con Virus Total me dio como resultado 1/40

Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.18 2009.06.14 -
AhnLab-V3 5.0.0.2 2009.06.14 -
AntiVir 7.9.0.187 2009.06.14 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.14 -
Avast 4.8.1335.0 2009.06.14 -
AVG 8.5.0.339 2009.06.14 -
BitDefender 7.2 2009.06.14 -
CAT-QuickHeal 10.00 2009.06.13 -
ClamAV 0.94.1 2009.06.14 -
Comodo 1328 2009.06.14 -
DrWeb 5.0.0.12182 2009.06.14 -
eSafe 7.0.17.0 2009.06.11 Suspicious File
eTrust-Vet 31.6.6556 2009.06.12 -
F-Prot 4.4.4.56 2009.06.14 -
F-Secure 8.0.14470.0 2009.06.13 -
Fortinet 3.117.0.0 2009.06.14 -
GData 19 2009.06.14 -
Ikarus T3.1.1.59.0 2009.06.14 -
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.14 -
McAfee 5646 2009.06.14 -
McAfee+Artemis 5646 2009.06.14 -
McAfee-GW-Edition 6.7.6 2009.06.14 -
Microsoft 1.4701 2009.06.14 -
NOD32 4153 2009.06.14 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.14 -
Panda 10.0.0.14 2009.06.14 -
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.14 -
Rising 21.33.62.00 2009.06.14 -
Sophos 4.42.0 2009.06.14 -
Sunbelt 3.2.1858.2 2009.06.14 -
Symantec 1.4.4.12 2009.06.14 -
TheHacker 6.3.4.3.345 2009.06.13 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.14 -
ViRobot 2009.6.13.1785 2009.06.13 -
VirusBuster 4.6.5.0 2009.06.14 -
Información adicional
Tamano archivo: 2736128 bytes
MD5...: b47c86016e9f07921c7adf54b4784e3b
SHA1..: 80b7b0a6c1e58bce4e6356790b144e3972954645
SHA256: 86eb3b4e8ec82cfb96961d44156492a8cae552c912cbadfbad c26c7e2c0333e5
ssdeep: -
PEiD..: Wise Installer Stub
TrID..: File type identification
Wise Installer executable (97.5%)
Win32 Executable Generic (1.0%)
Win32 Dynamic Link Library (generic) (0.9%)
Generic Win/DOS Executable (0.2%)
DOS Executable Generic (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x370d108f (Thu Apr 08 20:24:47 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1fe 0x200 5.55 f155a70bb31aab4a8c58b0f9d57db03c
.rdata 0x2000 0x215 0x400 2.84 6f58ca49378072d460147a07b96a95fd
.data 0x3000 0x14 0x200 0.27 e146e7c47bdf7b7c953201f0721505e1
.rsrc 0x4000 0x29c000 0x29b400 8.00 2b369edb0a1952c386e5a529b3e61b2d

( 2 imports )
> KERNEL32.dll: CreateFileMappingA, WaitForSingleObject, CreateProcessA, GetCommandLineA, CloseHandle, UnmapViewOfFile, WriteFile, MapViewOfFile, DeleteFileA, GetTempFileNameA, GetTempPathA, CreateFileA, GetShortPathNameA, GetModuleFileNameA
> USER32.dll: wsprintfA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b47c86016e9f07921c7adf54b4784e3b' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b47c86016e9f07921c7adf54b4784e3b</a>
packers (Kaspersky): WiseSFXDropper, PE_Patch.PECompact, PecBundle, PECompact, WiseSFXDropper
packers (F-Prot): embedded

Como usuario común y corriente ¿en que me tengo que basar para concluir que este archivo es peligroso?

Con un motor que resulte rojo ¿Es más que suficiente?
o ¿¿Hay que hacer algo más??

Gracias de antemano

Hola jctecn1cal

Pues esos resultados son a interpretar a criterio propio, ese archivo que muestras solo sale como sospechoso y por un antivir no muy reconocido..

Yo tengo muchos archivos que en virus total me dan resultados de 6 de 40 o incluso mas, pero normalmente en lo que más me suelo fijar en en lo que dicen los grandes antivirus, y si hay varios que detectan infeccion ( 6 , 7 ,8) pues mirar que dicen y si hay coincidéncia entre los resultados que muestran..

Pero claro todo es muy relativo, porque también me he visto en el caso de que mi compu me iba fatal, nada detectaba ninguna infección menos Combofix, y luego al subir esos archivos que eran malware que CF me detectó pues en virus total daban 0 de 40


Saludos.

Hola

Mientras no sean mas de 7 motores los que te detecten casos especificos de un virus no has de preocuparte, a demás Esafe tampoco es que esa muy puntilloso en detecciones que digamos

Saludos

Hola amigos

Por eso es que puse lo de Usuario Común y Corriente. Ustedes dos son de los que aniquilan malwares en maquinas virtuales como un pasatiempo

Tengo varios archivos de "dudosa procedencia" que han descargado mis hermanos y mi sobrina en mis dos PCs.

Cuando me ayudaste con lo de mi Firewall,HERRANTE,me aconsejaste lo de Virus Total. Que bueno que ustedes dos hayan contestado porque quería saber más o menos que criterios aplicar. Decidí probar con un archivo que fuera muy conocido,que ya había usado sin problema alguno Aunque de por sí,la duda ya la tenía desde hace mucho


¿¿0 de 40?? ¡¡Eso si que asusta!! pero veo que a tí ya te causa gracia;
Muchas gracias por sus recomendaciones,amigos

Hola, Virus Total es una página super util, por aqui la usamos muchisimo, y eso de 0/40 pues puede pasar pero tampoco no es lo más normal aunque si te fijas ellos mismos ya avisan en su página:

Eso que no detecte nada puede ocurrir con nuevas variantes , no se por ejemplo aqui el amigo Herrante hace unos meses me pasó una muestra de una nueva variante de win32 virut y en virus total solo era detectado por 7 o 8 de los antivir no recuerdo cuantos exactamente..

Y bueno mientras escribia esto lo he vuelto a analizar y no es que ahora aún sea detectado por muchos mas enlace VT

Para mi la conclusión es que es una página buenísima y util, pero que como todos los AVs pueden fallar, y que los resultados que te den son muy a interpretar a criterio propio .

Ah, bueno y si usas mucho la página puede que te interese Virus Total Uploader, es muy práctico, se suben los archivos simplemente haciendoles clic derecho--> enviar a---> Virustotal..

• VirusTotal - Servicio online antivirus gratuito - Email/Uploader

Saludos a ambos

Hola

Comentar que el archivo analizado es el Hacha (que ya lo dice) y normalmente a esta herramienta la suelen tachar como sospechosa.

File Hacha.exe received on 2009.06.14 20:44:16 (UTC)

Ahora los compañeros tendrán más motivos de enjuiciamiento, y podrán asesorarte mejor.

Solo acotar que HACHA, como todos sabrán es una sensilla, útil y gratuita herramienta para cortar o unir archivos.

No se instala, por lo que es un simple ejecutable. De ahi que pueda ser tomada como sospechoza.....pero es absolutamente libre de virus.


Salutes....

Hola NeoByte,
Me parece que acabas de poner el link del analisis que justamente mande a hacer,por la fecha y la hora más o menos me ubico;como pude imprimirlo en un archivo,simplemente seleccione texto y copie

Por cierto ¿¿Como lo hiciste??

Por supuesto que me interesa Fugazi27Lo probare y ya veremos que hay por aquí

Nos vemos

Hola

No tengas la menor duda, ya que es tú reporte del Hacha.

Cómo lo hice,pues muy sencillo.
Con el reporte que pusistes aquí al principio me cogí el MD5, ( b47c86016e9f07921c7adf54b4784e3b) luego en la web de virus total piqué en el botón Buscar Hashes ahí puse el código del Hash ( b47c86016e9f07921c7adf54b4784e3b) y le dí a buscar,dando como resultado tu reporte.

Copia el Hash y lo pegas verás los resultados.