¿Falso Positivo de EliStartPage v13.12?

[kikke]

El programa se llama [b]Total video converter[/b] y el EliStartPage v13.12 me da el siguiente resultado



Thu Jan 18 02:48:25 2007

EliStartPage v13.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Infectado, KeyLogger.FL



AntiVir 7.3.0.26 18.01.2007 no ha encontrado virus

Authentium 4.93.8 18.01.2007 no ha encontrado virus

Avast 4.7.936.0 18.01.2007 no ha encontrado virus

AVG 386 18.01.2007 no ha encontrado virus

BitDefender 7.2 18.01.2007 no ha encontrado virus

CAT-QuickHeal 9.00 17.01.2007 no ha encontrado virus

ClamAV devel-20060426 18.01.2007 no ha encontrado virus

DrWeb 4.33 18.01.2007 no ha encontrado virus

eSafe 7.0.14.0 18.01.2007 no ha encontrado virus

eTrust-InoculateIT 23.73.116 18.01.2007 no ha encontrado virus

eTrust-Vet 30.3.3334 18.01.2007 no ha encontrado virus

Ewido 4.0 18.01.2007 no ha encontrado virus

Fortinet 2.82.0.0 18.01.2007 no ha encontrado virus

F-Prot 3.16f 18.01.2007 no ha encontrado virus

F-Prot4 4.2.1.29 18.01.2007 no ha encontrado virus

Ikarus T3.1.0.27 09.01.2007 no ha encontrado virus

Kaspersky 4.0.2.24 18.01.2007 no ha encontrado virus

McAfee 4942 18.01.2007 no ha encontrado virus

Microsoft 1.1904 18.01.2007 no ha encontrado virus

NOD32v2 1988 18.01.2007 no ha encontrado virus

Norman 5.80.02 18.01.2007 no ha encontrado virus

Panda 9.0.0.4 18.01.2007 no ha encontrado virus

Prevx1 V2 18.01.2007 no ha encontrado virus

Sophos 4.13.0 17.01.2007 no ha encontrado virus

Sunbelt 2.2.907.0 12.01.2007 no ha encontrado virus

TheHacker 6.0.3.149 18.01.2007 no ha encontrado virus

UNA 1.83 18.01.2007 no ha encontrado virus

VBA32 3.11.2 18.01.2007 no ha encontrado virus

VirusBuster 4.3.19:9 18.01.2007 no ha encontrado virus





Información adicional

Tamaño archivo: 203776 bytes

MD5: 1981590c0997f1bc9459d3559bbed1ca

SHA1: 58bc93015eca68ac5a1cd3272d9edd2391e88c1b

packers: embedded







Al destriparlo : y puede que el falso positivo o quizás no tenga su por qué.





00031AA8 01 00 00 8C 00 00 00 00 12 00 00 00 01 88 4F 70 •••Œ•••••••••ˆOp

00031AB8 74 69 6D 69 7A 65 47 69 66 00 1C 47 4D 4D 53 79 timizeGif••GMMSy

00031AC8 73 74 65 6D 00 00 C7 53 79 73 74 65 6D 00 00 81 stem••ÇSystem••￾

00031AD8 53 79 73 49 6E 69 74 00 1C 4B 57 69 6E 64 6F 77 SysInit••KWindow

00031AE8 73 00 10 55 54 79 70 65 73 00 10 2B 47 72 61 70 s••UTypes••+Grap

00031AF8 68 69 63 73 00 10 C7 43 6F 6E 73 74 73 00 00 02 hics••ÇConsts•••

00031B08 53 79 73 55 74 69 6C 73 00 10 9D 53 79 73 43 6F SysUtils••￾SysCo

00031B18 6E 73 74 00 00 5E 43 6C 61 73 73 65 73 00 10 22 nst••^Classes••"

00031B28 52 54 4C 43 6F 6E 73 74 73 00 1C 33 4D 65 73 73 RTLConsts••3Mess

00031B38 61 67 65 73 00 10 43 56 61 72 69 61 6E 74 73 00 ages••CVariants•

00031B48 10 24 56 61 72 55 74 69 6C 73 00 10 51 54 79 70 •$VarUtils••QTyp

[b]00031B58 49 6E 66 6F 00 10 73 41 63 74 69 76 65 58 00 00 Info••sActiveX••[/b]

00031B68 21 47 49 46 49 6D 61 67 65 00 00 !GIFImage••





Siguiendo destripando la librería, el programa no tiene opción de calendario ni nada por el estilo:



65440,Thu

65441,Fri

65442,Sat

65443,Sunday

65444,Monday

65445,Tuesday

65446,Wednesday

65447,Thursday

65448,Friday

65449,Saturday

65450,Cannot assign a %s to a %s

65451,CheckSynchronize called from thread $$%x, which is NOT the main thread

65452,List does not allow duplicates ($$0%x)

65453,String list does not allow duplicates

65454,Cannot create file "%s". %s

65455,Cannot open file "%s". %s

[msc hotline sat]

Es posible que contenga la cadena de deteccion y por esto se detecte, aunque no sea virus...



Envienos el fichero indicando POSIBLE FALSO POSITIVO y buscaremos otra cadena que siga estando en los infectados pero no esté en este fichero, y la utilizaremos a partir de la siguiente version



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 19-01-2007