Author Topic: Falso positivo en JPG ?  (Read 7104 times)

0 Members and 1 Guest are viewing this topic.

gabrielcoronel

  • Guest
Falso positivo en JPG ?
« on: May 07, 2012, 03:07:37 PM »
Hola
Las ultimas definiciones me indican virus (TML:Framer-D [Trj]) en archivos de imagenes.
pero estoy seguro que estos archivos no tienen virus, pues comprove con una copia historica en otra PC i son identicos.

Ya lo controle con www.virustotal.com
y el resultado es de 23/40
que opinan?

como hago para enviar un archivo para su analicis ?
Gracias

iroc9555

  • Guest
Re: Falso positivo en JPG ?
« Reply #1 on: May 07, 2012, 03:34:21 PM »
Gabriel.

Reanaliza el archivo en VT y escrbe el enlace ( URL ) del resultado para ver quien detecta y como. Tambien que escudo de Avast! o analisis te las detecto. Si puedes pon una captura de pantalla para ver los archivos donde estan.

gabrielcoronel

  • Guest
Re: Falso positivo en JPG ?
« Reply #2 on: May 07, 2012, 04:09:45 PM »
resultado del analicis

https://www.virustotal.com/file/8fb2c85fb5f98cdaa25d6f0c9b2dc44174524f042cf6ddc5476b537e3f4fd3ed/analysis/


Tambien se da en la pag web en donde estan las imagenes, todas las imagene tiene como 2 años de antiguedad y nunca fueron modificadas. Las imagene de la web y las copias locales son identicas!

La pag web en cuestion es hxxp://www.hn-hercules.com.ar/productos/RG-181.htm
« Last Edit: May 07, 2012, 04:48:19 PM by Gabriel Coronel »

iroc9555

  • Guest
Re: Falso positivo en JPG ?
« Reply #3 on: May 07, 2012, 04:24:00 PM »
Por favor Gabriel desactiva la pagina de las fotos cambiando http:// por hXXp://

¿ Ya movistes las imagenes al baul ? Si lo hicistes reportalas como F/P a Avast!. Click derecho > Enviar a Avast!.. Mañana o en dos dias vuelve a analizarlas desde el baul. Si son F/P no encontrara nada y podras ponerlas de vuelta en tu PC.

La verdad que tantos defirentes programas detectando esas imagenes es dificil que sea F/P. Yo te he visto escribiendo en ingles por que no abres on topico en viruses y worms diciendo que crees que estas infectado ( porque si no eran detectadas antes y ahora si puedes tener algo que las infecto )

Este es el procedimiento:


Tienes que leer esta guia.

http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar estos programas ( los encuetras en la guia ); Malwarebytes', OTL, y aswMBR.exe y sus reportes los guardas y los anexas ( no copiar/pegar ) en el nuevo topico que abriras aqui:

http://forum.avast.com/index.php?board=4.0

Si no sabes ingles el unico sitio en español con personal calificado que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/

Offline Populous

  • Advanced Poster
  • **
  • Posts: 977
Re: Falso positivo en JPG ?
« Reply #4 on: May 07, 2012, 04:56:41 PM »
Hola Gabriel Coronel y bienvenido al foro!  ;)

Efectivamente esos archivos están infectados.  :-\   

Un archivo .JPG no se puede infectar lo que ocurre es que es el camuflaje perfecto para virus y troyanos sobre todo estos últimos.

Es decir, puedes "ocultar" ó "camuflar" un archivo .EXE que es un troyano dentro de un archivo de imagen. Ese archivo el incauto usuario que lo abra pensará que es una foto y realmente verá una foto en pantalla pero al mismo tiempo que visualiza la foto se activa el troyano en RAM y su ordenador queda infectado. La idea es que tenemos 2 archivos (un ejecutable .exe (virus) y una imagen) y con un programa especial (herramienta hacking) los únimos creando un tercer fichero que en apariencia es una imagen pero que contiene 2 archivos en su interior.

Avast ha actuado correctamente bloqueando estos archivos e identificándolos como malware porque realmente lo son.

Además los resultados de VT son más que evidentes.

Desactive por favor el enlace a esa web como le pidió el compañero iroc9555 para evitar que otros usuarios puedan resultar infectados.

Como se suele decir una imagen vale más que mil palabras y como tampoco vamos a dar una clase aquí de esteganografía porque estaríamos años, encontré ese video donde camuflan un troyano que actua como servidor (para que el pc pueda ser controlado remotamente) dentro de una imagen .JPG.  En el enlace de youtube siguiente tenemos un ejemplo práctico donde ocultamos un troyano dentro de una imagen. (http://www.youtube.com/watch?v=RU3IuAgzVMs)

Saludos.
« Last Edit: May 07, 2012, 05:00:44 PM by Populous »
Avast Premium Security 20.2.2401 (compilación 20.2.5130.565) |CPU: Intel(R) Core(TM) i7-8700 CPU @ 4,06GHz, 6 procesadores principales, 12 procesadores lógicos | RAM: 32GB -DDR4-2666 | T.Gráfica: GeForce GTX 1060 | SO: Win 10 Pro Versión 1909 Build (18363.752) - 64 Bits

iroc9555

  • Guest
Re: Falso positivo en JPG ?
« Reply #5 on: May 07, 2012, 05:18:43 PM »
Gabriel.

Me fue informado por uno de los especialistas en sitios web infectados que esa pagina web tiene un pasado sospechoso y con muchos problemas de infeccion. Bueno eso fue lo que entendi. Algunas veces se ponen tan tecnicos que es dificil entender todo. Yo que tu me abstendria de visitar ese sitio.

gabrielcoronel

  • Guest
Re: Falso positivo en JPG ?
« Reply #6 on: May 07, 2012, 05:27:18 PM »
Hernan,

soy el coautor de esta pag. jajajaja!

como puede ser que tanto los archivos de la pag (que tienen mas de 2 años) que estan en la web.
como los  que estan en la PC localmete, esten infectados.
Una semana atras Avast no me informava nada sobre los archivos locales.

La PC fue nalizada con Malwarebytes y no encontro nada ?
Gracias

iroc9555

  • Guest
Re: Falso positivo en JPG ?
« Reply #7 on: May 07, 2012, 05:31:18 PM »
Gabriel eso fue lo que me informaron con un analizador que usan. Solo pasaba la informacion. Si tu estas seguro que estan limpias pues haz lo que te dije. Reportalas a Avast! virus lab como F/P y deja que ellos las examinen a fondo. Esto puede tardar 1 o 2 dias y en unos de los VPS ya no seran detectados.

gabrielcoronel

  • Guest
Re: Falso positivo en JPG ?
« Reply #8 on: May 07, 2012, 05:54:47 PM »
Hernan

Todo Bien
Gracias

Offline Populous

  • Advanced Poster
  • **
  • Posts: 977
Re: Falso positivo en JPG ?
« Reply #9 on: May 07, 2012, 05:58:45 PM »
Hernan

Todo Bien
Gracias


¿Y eso que significa? Creo que me he perdido algo...  :o
Avast Premium Security 20.2.2401 (compilación 20.2.5130.565) |CPU: Intel(R) Core(TM) i7-8700 CPU @ 4,06GHz, 6 procesadores principales, 12 procesadores lógicos | RAM: 32GB -DDR4-2666 | T.Gráfica: GeForce GTX 1060 | SO: Win 10 Pro Versión 1909 Build (18363.752) - 64 Bits

gabrielcoronel

  • Guest
Re: Falso positivo en JPG ?
« Reply #10 on: May 07, 2012, 07:48:33 PM »
Estimados

los archivos supuestamente infectados contenian el siguiente codigo:  (el cual fue eliminado).
y los archivos JPG, fueron reeditados.
Muchas gracias a todos

</html><!-- INICIO - PUBLICIDAD POP-UP UNDER -->
<IFRAME SRC="hxxp://www.ciudad.com.ar/ar/popunder/p_submit.asp?site=personales.ciudad.com.ar" width=1 height=1></IFRAME>
<SCRIPT LANGUAGE="JavaScript">
//<!--
for (var i=1; i<15; i++){
  setTimeout('self.focus();',i*30);
}
//-->
</SCRIPT>
<!-- FIN - PUBLICIDAD POP-UP UNDER -->

Offline Populous

  • Advanced Poster
  • **
  • Posts: 977
Re: Falso positivo en JPG ?
« Reply #11 on: May 07, 2012, 08:08:32 PM »
@Gabriel Coronel:

Lo que nos muestra en pantalla es un fragmento de código en javascript (incompleto) que seguramente formaba parte de los archivos html de su web. Estos archivos habían sido modificados incluyendo un script (posiblemente el que muestra pero completo) que redirigía al visitante a otro sitio web que sí que contenía los archivos infectados. El escudo WEB de AVAST evita que llegue a esos archivos detectando el script malicioso (el código). Es una forma muy típica de infectar un sitio web y a los usuarios que lo visiten...

Si se fija en la siguiente linea:

Quote
<IFRAME SRC="hxxp://www.ciudad.com.ar/ar/popunder/p_submit.asp?site=personales.ciudad.com.ar" width=1 height=1></IFRAME>

Eso se conoce como un iframe ó marco interno y lo que hace es cargar dentro de su propia web otra web, en este caso hxxp://www.ciudad.com.ar/ar/popunder/p_submit.asp?site=personales.ciudad.com.ar  que seguramente es la que contiene los archivos infectados.

Además el código incluye un Trigger ó disparador...
Quote
<SCRIPT LANGUAGE="JavaScript">//<!--for (var i=1; i<15; i++){  setTimeout('self.focus();',i*30);

Este código en javascript realiza alguna acción  transcurridos 15 segundos después de la carga de la página y digo "alguna" porque no sé cuál ya que el código está incompleto . Tendría que ver el código completo pero le aseguro en un 99% que lo que hace es redigir al visitante de su sitio web a otro sitio infectado dentro del marco (iframe) para que el usuario no lo note, de hecho el marco (iframe) tiene unas dimensiones de 1*1, es decir, ocupa el espacio de un caracter en la página... ¿Sospechoso no?

No sé si lo habrá hecho ya ó si por el contrario no, pero si no lo ha hecho aún, debería abrir un topic en viruses &worms para que le asesoren ya que nosotros no lo tenemos permitido,  además que para ello existe un foro específico (viruses &worms) donde personal muy cualificado de avast le ayudarán.

Por otro lado su proveedor de hosting debería ayudarle a limpiar la infección, en mi opinión ya que lo que está infectado es una web ubicada en un ordenador propiedad de su proveedor...

Saludos y suerte!
« Last Edit: May 07, 2012, 08:42:34 PM by Populous »
Avast Premium Security 20.2.2401 (compilación 20.2.5130.565) |CPU: Intel(R) Core(TM) i7-8700 CPU @ 4,06GHz, 6 procesadores principales, 12 procesadores lógicos | RAM: 32GB -DDR4-2666 | T.Gráfica: GeForce GTX 1060 | SO: Win 10 Pro Versión 1909 Build (18363.752) - 64 Bits