Posibles falsas-alertas en elistara (Yazzle1122 y otros)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Avatar de Usuario
rizome
Mensajes: 4
Registrado: 26 Jun 2007, 00:56

Posibles falsas-alertas en elistara (Yazzle1122 y otros)

Mensaje por rizome » 26 Jun 2007, 14:02

Saludos (y enhorabuena por mantener este gran servicio)



Pasando el Elistara, me ha detectado unas amenazas que creo... ¿falsas?



Provienen de unos programas de la [url=http://lupo73.altervista.org/suite-en.htm][b]suite Lupo[/b][/url], que creía que era de fiar.

¿Me podéis confirmar que son amenazas ciertas?


[quote="Elistara"]Lista de Acciones (por Exploración):

Explorando Unidad G:\

...\7-Zip Plus\7-ZIPPORTABLE.EXE --> [b]Yazzle1122[/b]

...\AbiWord Plus\ABIWORDPORTABLE.EXE --> [b]Yazzle1122[/b]

...\AM-DeadLink\XLAUNCHER.EXE --> [b]Shorty (dropper)[/b]

...\G5\UNDOReg\UNDOREG.EXE --> [b]DownLoader.Vixup[/b]

...\Foxit Reader Portable\FOXIT READER PORTABLE.EXE --> [b]Yazzle1122[/b]

...\Pidgin\plugins\PSYCHIC.DLL --> [b]Dumaru BDoor-CCT[/b]
[/quote]

Además, me detecta también esta otra, escondida en un programa navegador-GPS: [url=http://www.compegps.com/2006/index.php?detail=detail&opcion=1&lang=&prod=4][b]COMPEGPS LAND[/b][/url] que creía también fiable
[quote="Elistara"]Lista de Acciones (por Exploración):

Explorando Unidad C:\

...\COMPEGPS LAND V.2.61.EXE --> [b]Yazzle1122[/b][/quote]



La verdad, que me he quedado ciertamente preocupadete con estos avisos... :S



Saludos.

David P

2007



PD: Tengo en un RAR los archivos en cuestion de la Suite Lupo. (sólo los seis que identifica el elistara). Si me los solicitáis...

El archivo "COMPEGPS LAND.exe" (el del GPS) se puede descargar en la misma [url=http://www.compegps.com/2006/index.php?detail=detail&opcion=1&lang=&prod=4]página[/url] que indico (demo)
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 26 Jun 2007, 14:18

Las detecciones por cadenas pueden dar falsos positivos cuando hay coincidencias de las mismas con ficheros buenos que las contienen.



Las evaluaciones estan para esto, si se sabe que un fichero es bueno y es detectado por cualquier utilidad en evaluacion, debe enviarsenos indicando FALSO POSITIVO bien grande en el mail, y tratamos de escojer otra cadena que no esté en el fichero "bueno" pero que siga detectando los "malos"



Por ello el ELISTARA tiene un boton de ELIMINAR FICHEROS AUTOMATICAMENTE que puede desactivarse, y así cada vez que se detecta un sospechoso preguntará si se quiere eliminar o no, y poder evitar que se eliminen ficheros innecesariamente, y que de hacerlo haya que instalarlos de nuevo.



Y por favor, se pide que si se utiliza el ELISTARA, se postee el contenido del C:\infosat.txt completo, para saber el resultado del proceso y podamos mejorar la utilidad en consecuencia, asi como analizar las muestras que se van pidiendo, para control y eliminacion de nuevas variantes.



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







saludos



ms, 26-06-2007



nota: claro que puede enviarnos los que considere falsos positivos, tras analizarlos excluiremos su deteccion. ms.
Arriba
Avatar de Usuario
rizome
Mensajes: 4
Registrado: 26 Jun 2007, 00:56

Mensaje por rizome » 26 Jun 2007, 15:02

[quote="msc hotline sat"][...] Y por favor, se pide que si se utiliza el ELISTARA, se postee el contenido del C:\infosat.txt completo, para saber el resultado del proceso y podamos mejorar la utilidad en consecuencia [...][/quote]
Muy cierto, mi mala manía de "recortar", me ha hecho resumir malamente. :roll:



Este es el texto íntegro:


[quote="Elistara, en el InfoSat.txt,"] Tue Jun 26 13:49:38 2007

EliStartPage v14.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Tue Jun 26 13:49:47 2007

EliStartPage v14.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\COMPEGPS LAND V.2.61.EXE --> Infectado, Yazzle1122

G:\LupoPenSuite v.6.32 EN\Apps\7-Zip Plus\7-ZIPPORTABLE.EXE --> Infectado, Yazzle1122

G:\LupoPenSuite v.6.32 EN\Apps\AbiWord Plus\ABIWORDPORTABLE.EXE --> Infectado, Yazzle1122

G:\LupoPenSuite v.6.32 EN\Apps\AM-DeadLink\XLAUNCHER.EXE --> Infectado, Shorty (dropper)

G:\LupoPenSuite v.6.32 EN\Apps\Extra\G5\UNDOReg\UNDOREG.EXE --> Infectado, DownLoader.Vixup

G:\LupoPenSuite v.6.32 EN\Apps\Foxit Reader Portable\FOXIT READER PORTABLE.EXE --> Infectado, Yazzle1122

G:\LupoPenSuite v.6.32 EN\Apps\X-Pidgin\Bin\Pidgin\plugins\PSYCHIC.DLL --> Infectado, Dumaru BDoor-CCT[/quote]

[b]En un mail, les envío[/b] adjuntos los archivos que son susceptibles de ser "falsos positivos".



Gracias por su atención.

(e impresionado por su rapidísima rapided :D , se despide:)

David P

2007
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 26 Jun 2007, 15:48

Los analizaremos esta misma tarde y esperamos que en la proxima version 14.28 ya estarán excluidos



Gracias por su colaboracion



saludos



ms, 26-06-2007
Arriba
Avatar de Usuario
rizome
Mensajes: 4
Registrado: 26 Jun 2007, 00:56

Mensaje por rizome » 26 Jun 2007, 17:00

Ya puestos con la suite Lupo, he pasado el [b]EliTriIP[/b] por mi PC (por si acaso determinan que son reales las amenazas, Dios no lo quiera... :roll:) y ha detectado otra similar:

[i]...\PC Wizard\Data\[b]pcwpdf.dll [/b]--> [b]Blaster.worm.A[/b][/i]



Este es el texto íntegro:
[quote="Elistara, en el InfoSat.txt, escribió:"] Tue Jun 26 14:59:45 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Jun 26 14:59:52 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\rizome\Escritorio\Lupo\Lupo PenSuite EN\Apps\PC Wizard\Data\pcwpdf.dll --> Infectado, Blaster.worm.A[/quote]



Con esto es todo.

Gracias

David P.

2007



(Nota: también les envío por Mail este nuevo archivo: [i]pcwpdf.dll[/i])
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 26 Jun 2007, 17:30

Pues envianos esta DLL y bien clarito la indicacion de FALSO POSITIVO , ya que sino se tratan como muestras viricasm que es lo normal !



saludos



ms, 26-06-2007
Arriba
Avatar de Usuario
rizome
Mensajes: 4
Registrado: 26 Jun 2007, 00:56

Mensaje por rizome » 28 Jun 2007, 18:04

Saludos.

Cuando tengáis revisadas estas posibles [b][i]falsas amenazas[/i][/b], agradecería que confirmárais si lo son, o no, para quedarme más tranquilito.



Gracias, y un abrazo.

David P

2007
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 28 Jun 2007, 18:17

Pues prueba las nuevas versiones de ELISTARA, ya que se van corrigiendo las cadenas de los ficheros que se reciben como FALSOS POSITIVOS, dia a dia.



Para ello, pruebalo desmarcando la casilla de la ventana de EXPLORACION que indica ELIMINAR AUTOMATICAMENTE LOS FICHEROS (inferior izquierda), y solo acepta eliminar lo que no te sea familiar, claro.



saludos



ms, 28-06-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”