Jump to content


Photo

Como detectar la "firma" de un archivo (como lo hace un antivirus)


  • Please log in to reply
3 replies to this topic

#1 JoAnCa

JoAnCa

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 775 posts
  • LocationPinar del Río, Cuba

Posted 01 September 2020 - 08:13 PM

Hola a todos
No se si esta bien formulada la pregunta, pero lo que necesito es saber el identificador de cualquier archivo o aplicacion, tal como lo hace un antivirus, que reconoce un archivo independientemente de su nombre, si es un .exe, .vbs, .bat, etc., es como leyendo su "firma digital".

El objetivo es crear una aplicación que me detecte y elimine los archivos de un virus que crea carpetas y archivos con nombres aleatorios (tales como xyzdsnxbwtydsfx), ya que el NOD32 no lo elimina hasta el momento.

El avira free, si lo detecta, pero en las PC sin acceso a internet no se puede actualizar de forma manual, por eso siguen con NOD32.

Quisiera hacer esta utilidad como un complemento al antivirus, mientras aparezca una actualización que lo haga
  • 0

#2 JoAnCa

JoAnCa

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 775 posts
  • LocationPinar del Río, Cuba

Posted 02 September 2020 - 01:42 PM

Agregando nueva información.
Investigando una muestra del malware, me doy cuenta del por qué, muchos antivirus no lo detectan:

Se trata de la aplicación AutoHotkey (https://www.autohotkey.com/), que mediante cmd.exe ejecuta un script que esta en un txt, y un acceso directo es el que se encarga de combinarlos y ejecutar el código malicioso.

Por lo que se enmascara bastante bien, ya que los 3 archivos por si solos no son amenazas, ademas que los dos primeros son legítimos, y un txt solo no hace nada.

En el caso de la muestra analizada, AutoHotkey tiene el nombre "poeeidqrrupixrpdvcqhr", pero también puede tener cualquier otro parecido, por lo que no puedo hacer una búsqueda por su nombre.

Por eso es que necesito algo que me identifique a AutoHotkey de forma única, sin importar el nombre que tenga.

O quizas tambien me podria servir como leer la ruta del destino que tiene el acceso directo, para obtener el nombre que tienen los archivos maliciosos.

El acceso directo parece que siempre sigue esta nomenclatura para su nombre: nombredelacarpetacontenedora copy poe.lnk y es el que se copia en las carpetas infectadas

Edited by JoAnCa, 02 September 2020 - 01:49 PM.

  • 0

#3 JoAnCa

JoAnCa

    Advanced Member

  • Miembro Platino
  • PipPipPip
  • 775 posts
  • LocationPinar del Río, Cuba

Posted 03 September 2020 - 08:46 PM

Aunque no es exactamente lo que necesito, pero esto me puede servir: https://www.ajpdsoft...article&sid=121
  • 0

#4 egostar

egostar

    missing my father, I love my mother.

  • Administrador
  • 14460 posts
  • LocationMéxico

Posted 04 September 2020 - 10:51 AM

Aunque no es exactamente lo que necesito, pero esto me puede servir: https://www.ajpdsoft...article&sid=121

 

Que bien amigo.

 

Saludos


  • 0




IP.Board spam blocked by CleanTalk.