Ir al contenido


Foto

Como detectar la "firma" de un archivo (como lo hace un antivirus)


  • Por favor identifícate para responder
3 respuestas en este tema

#1 JoAnCa

JoAnCa

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 751 mensajes
  • LocationPinar del Río, Cuba

Escrito 01 septiembre 2020 - 08:13

Hola a todos
No se si esta bien formulada la pregunta, pero lo que necesito es saber el identificador de cualquier archivo o aplicacion, tal como lo hace un antivirus, que reconoce un archivo independientemente de su nombre, si es un .exe, .vbs, .bat, etc., es como leyendo su "firma digital".

El objetivo es crear una aplicación que me detecte y elimine los archivos de un virus que crea carpetas y archivos con nombres aleatorios (tales como xyzdsnxbwtydsfx), ya que el NOD32 no lo elimina hasta el momento.

El avira free, si lo detecta, pero en las PC sin acceso a internet no se puede actualizar de forma manual, por eso siguen con NOD32.

Quisiera hacer esta utilidad como un complemento al antivirus, mientras aparezca una actualización que lo haga
  • 0

#2 JoAnCa

JoAnCa

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 751 mensajes
  • LocationPinar del Río, Cuba

Escrito 02 septiembre 2020 - 01:42

Agregando nueva información.
Investigando una muestra del malware, me doy cuenta del por qué, muchos antivirus no lo detectan:

Se trata de la aplicación AutoHotkey (https://www.autohotkey.com/), que mediante cmd.exe ejecuta un script que esta en un txt, y un acceso directo es el que se encarga de combinarlos y ejecutar el código malicioso.

Por lo que se enmascara bastante bien, ya que los 3 archivos por si solos no son amenazas, ademas que los dos primeros son legítimos, y un txt solo no hace nada.

En el caso de la muestra analizada, AutoHotkey tiene el nombre "poeeidqrrupixrpdvcqhr", pero también puede tener cualquier otro parecido, por lo que no puedo hacer una búsqueda por su nombre.

Por eso es que necesito algo que me identifique a AutoHotkey de forma única, sin importar el nombre que tenga.

O quizas tambien me podria servir como leer la ruta del destino que tiene el acceso directo, para obtener el nombre que tienen los archivos maliciosos.

El acceso directo parece que siempre sigue esta nomenclatura para su nombre: nombredelacarpetacontenedora copy poe.lnk y es el que se copia en las carpetas infectadas

Editado por JoAnCa, 02 septiembre 2020 - 01:49 .

  • 0

#3 JoAnCa

JoAnCa

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 751 mensajes
  • LocationPinar del Río, Cuba

Escrito 03 septiembre 2020 - 08:46

Aunque no es exactamente lo que necesito, pero esto me puede servir: https://www.ajpdsoft...article&sid=121
  • 0

#4 egostar

egostar

    missing my father, I love my mother.

  • Administrador
  • 14.139 mensajes
  • LocationMéxico

Escrito 04 septiembre 2020 - 10:51

Aunque no es exactamente lo que necesito, pero esto me puede servir: https://www.ajpdsoft...article&sid=121

 

Que bien amigo.

 

Saludos


  • 0