Llevo aquí en indetectables bastante tiempo, pero resulta que hoy he tenido un problema, me he infectado con un archivo que descargué de aquí.
Resulta que hoy estuve descargando muchas cosas relacionadas con AV's de consola o portables pero me di cuenta después de un rato que un archivo parecía sospechoso, entonces intenté entrar a VirusTotal (siempre entró acá para analizar los posibles archivos con virus, así todos los putos AV's sabrán que esta infectado y se envíen muestras. Y así me cago al desgraciado que intentó infectarme) , pero no pude entrar, pensé que la pagina estaba caída y fui a virusscan.jotti, y era el mismo problema, ahí empecé a sospechar y fui a C:\WINDOWS\system32\drivers\etc y miren con lo que me encontré:

Estoy seguro que me infecte aquí, por que hoy solo descargué cosas de acá y fue sólo ayer que entré a virustotal. Yo suelo confiar en este foro, sobre todo los de post más antiguos, ya que se supone que fueron analizados, o la gente se hubiese quejado en los comentarios (incluso ando con mi AV desactivado). No culpó a nadie, incluso, yo debería haber sido más precavido, pero le pido a los moderadores que pongan más ojo.
Después de buscar, elegí a los presuntos sospechosos:
1)http://www.indetectables.net/foro/viewt ... =9&t=32840
(Lastima que era bueno el programa ese, funcionaba) [11/43]
2)http://www.indetectables.net/foro/viewt ... =9&t=22364
(Especificamente, el segundo link de G-Data)

¿Alguien le podría hacer un analizis más exhaustivo?
Disculpen la ignorancia pero yo no sé hacerlo..

ay algo que no entiendo porque dices que esta infectado ??

Te morfaste un block sites xD

Franbv escribió:ay algo que no entiendo porque dices que esta infectado ??

Porque no es normal tener el archivo host editado con esas lineas, y casualmente esta bloqueando las web que analisan malware eso es normal de cuando te infectan ...

Con respecto a tus sospechosos pues que tengan mas de 70 mensajes no quiere decir que sean de fiar

y si miras en ninguno dice clean

Sin ir mas lejos mira la pregunta de Franbv

Sin ofender amigo
Haci que levanta una imagen y y cuenta nueva

No te procupes amigo, al mejor cazador se le va la liebre, a todos nos pasa, lo malo es que cuando pasan este tipo de cosas lo dificil es saber cómo pasó, pero te recomiendo que analices tú sólo los archivos, siempre es bueno saber algo de análizis para estar seguro. y si encuentras algún ejecutable raro en tu PC súbelo para analizarlo :)

decis que los moderadores esten atentos pero no tenes ni una remota idea de como te infectaste...

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}

No creo que sea una infección. A veces los mismos crypters te editan ell archivo hosts, pero no por querer infectarte, sino simplememte para que tu no le quemes el trabajo a nadie subiendo el archivo a virustotal, entre otras. Lo que pasa es que nadie dice cuando usa esta protección por ovbias razones.

A ver, vamos por partes

1) Es cierto que alguna vez se ha colado algun archivo indeseado, pero creo que fueron las menos (si haces un rate infecciones {sin detectar / posteos} creo que te va a dar menor al 0.01 % ).

2) No sólo los moderadores analizan archivos, una gran cantidad de usuarios sin rango tienen predisposicion a este tipo de analisis.. por que? pues por hobbie, por ganas de ayudar o simplemente para aprender a auto-protegerse (bien podrias tú tomar esta tercera opcion)

3) Si bien yo estoy comprometido con mi labor de moderador (al igual que mis compañeros) no es la unica tarea (ni mucho menos) que realizamos

4) Armar un post tira-bomba sin un enlace definido, es poco serio

5) Que te modifiquen el archivo hosts no implica infeccion (lee el parrafo de Harker_123 que es muy claro) como ejemplo te doy el Fly Crypter que, en sus ultimas versiones, tenia este comportamiento.

6) No pretendas que en todos los posts pongamos la palabra "Clean". Solo lo hacemos cuando hay dudas concretas de uno o varios usuarios (lease moderador o no)

7) Si sigues con dudas me comprometo a analizar uno x uno los archivos mencionados, aun cuando el post de Word tiene 20 enlaces (de los cuales 14 estan activos) + 1 del post de djqitin. Eso si, dame tiempo que algunos archivos llegan a pesar + de 100 Mb

8) Relax y disfruta del foro mas seguro en este tipo de cuestiones

Salud

Aquí estoy (uno de los presuntos sospechosos). Entiendo que seas un ignorante pero aun así no tienes derecho de señalar a nadie sin tener una puta prueba y solo señalar por señalar. No hace falta presentarme que aquí muchos me conocen. El link de "Eset Smart Security Login v1.0" que coloco ese tal djqitin esta sacado de mi blog, subido por mi, así que...
No esta bien destrozar la reputación de la gente sea intencionado o no.

Felices fiestas

ragnarok escribió:

Franbv escribió:ay algo que no entiendo porque dices que esta infectado ??

Porque no es normal tener el archivo host editado con esas lineas, y casualmente esta bloqueando las web que analisan malware eso es normal de cuando te infectan ...

Con respecto a tus sospechosos pues que tengan mas de 70 mensajes no quiere decir que sean de fiar

y si miras en ninguno dice clean

Sin ir mas lejos mira la pregunta de Franbv

Sin ofender amigo
Haci que levanta una imagen y y cuenta nueva

ahora mi pregunta no causa tanta gracia verdad ??? a eso me refería a lo que argumentan los demas




que un host este editado no significa que el archivo conecte a algún lado o te coma archivos

;) mas pillo para la proxima

Primero, disculpen por responder tan tarde, había estado ocupado ya que ayer se me activo el scanner de Avira y me borró TODO, los programas, la primera mod que estaba haciendo, mis RATS, algunos AV's portables y demás , y como tenía desactivada la cuarentena me lo elimino todo directamente, estuve intentando recuperar los archivos con programas (GetDataBack, Avira UnEraser) pero parece que esos programas sirven para recuperar lo que fue borrado de la papelera así es que ya estoy jodido.

Bueno, volviendo al tema, les quiero pedir disculpas publicas a todos, sinceramente, no tenía la más mínima idea de que los crypter modificaran el archivo hosts

Harker_123 escribió: Lo que pasa es que nadie dice cuando usa esta protección por ovbias razones.

y por esta misma razón me deje llevar sólo por la primera impresión y hablé. Además no entendía por qué mier.. un generador de cuentas de NOD y un trial reset deberían ser conciderados cómo malware's por los antivirus, pero ahora que lo pienso es obvio que los AV no quieren tener archivos que den facilidades para no pagar a ellos mismos.

osnaraus escribió:7) Si sigues con dudas me comprometo a analizar uno x uno los archivos mencionados, aun cuando el post de Word tiene 20 enlaces (de los cuales 14 estan activos) + 1 del post de djqitin. Eso si, dame tiempo que algunos archivos llegan a pesar + de 100 Mb

En el post de Word, el único archivo que califiqué como sospechoso era el trial reseter de G-Data (segundo link), me gustaría si pudieses analizarlo, el problema es que para abrirlo hay que instalar G-Data , en cuanto al Security Login de fakedo0r lo abrí en mi PC (no tengo virtual) para ver si creaba conexiones (usé TCPView, ese progrma me lo pasaste tú, osnaraus, por MSN hace mucho tiempo) o si acaso fue ese archivo el que modificó el host, pero no fue ninguna de ambas. Por ende, para mí "Eset Smart Security Login v1.0" esta CLEAN

fakedo0r escribió:Aquí estoy (uno de los presuntos sospechosos). Entiendo que seas un ignorante pero aun así no tienes derecho de señalar a nadie sin tener una puta prueba y solo señalar por señalar. No hace falta presentarme que aquí muchos me conocen. El link de "Eset Smart Security Login v1.0" que coloco ese tal djqitin esta sacado de mi blog, subido por mi, así que...
No esta bien destrozar la reputación de la gente sea intencionado o no.

Fakedo0r, primero yo no dije que tu archivo estuviese infectado, si no, que tal como tu y yo lo dijimos es un "presunto sospechoso", de todos modos discúlpame, lo que me hizo poner en duda tu archivo fue lo mencionado en el segundo párrafo, además, no lo subiste tu, podría haber sido cualquier persona que usó tu nombre para que su archivo parezca más confiable, incluso tu programa funcionaba de maravillas, gracias y perdón denuevo.

En conclusión quiero pedir disculpas, tal ves mi comentario fue un poco apresurado y mi ignorancia, tal y como ustedes me lo dijeron, me jugó en contra. Como no sabía eso de que los crypters fuesen a modificar el hosts, atribuí esto directamente a un malware.

azav3 escribió:Primero, disculpen por responder tan tarde, había estado ocupado ya que ayer se me activo el scanner de Avira y me borró TODO, los programas, la primera mod que estaba haciendo, mis RATS, algunos AV's portables y demás , y como tenía desactivada la cuarentena me lo elimino todo directamente, estuve intentando recuperar los archivos con programas (GetDataBack, Avira UnEraser) pero parece que esos programas sirven para recuperar lo que fue borrado de la papelera así es que ya estoy jodido.

Matatán escribió:Seguro era un .doc con porno GAY.

Ahahaha!

Si es muy importante usa el Win Minipe. =)

Suerte amorcito!

Matatán escribió:
2- Si Formateaste y perdiste datos es más fácil, usá File Inspector o herramientas de ese estilo.

Franbv escribió:

ragnarok escribió:

Franbv escribió:ay algo que no entiendo porque dices que esta infectado ??

Porque no es normal tener el archivo host editado con esas lineas, y casualmente esta bloqueando las web que analisan malware eso es normal de cuando te infectan ...

Con respecto a tus sospechosos pues que tengan mas de 70 mensajes no quiere decir que sean de fiar

y si miras en ninguno dice clean

Sin ir mas lejos mira la pregunta de Franbv

Sin ofender amigo
Haci que levanta una imagen y y cuenta nueva

ahora mi pregunta no causa tanta gracia verdad ??? a eso me refería a lo que argumentan los demas




que un host este editado no significa que el archivo conecte a algún lado o te coma archivos

;) mas pillo para la proxima

La verdad que no se me habia ocurrido darle un uso asi con el motivo de que duren mas, asi que pido disculpas tal ves una conclusion rapida

Saludos

Si a mi también me pasó, pero no vine a llorar reclamando.

Pautas:

Eso no es infectar, solo son webs scaner inapropiadas quemadores de fud que envian muestras, digo que pille porque suelo usar recurridamente virus total cuando suelo entrar en webs como taringa y de golpe no me salia

PD: No quiero culpar a nadie porque no esta bien hacer eso, pero si es algo molestoso que pongan eso, se supone que es un foro decente.

Sabes lo que pasa? ahora te lo explico. Hace tiempo se puso de moda que ciertos crypters añadieran esas lineas al archivo host para que los subnormales de los nuevos (newbies) no subieran el archivo a escaneres online así que no es que te hayas infectado, simplemente es una medida de seguridad del programa para que no lo heches a perder. Es más, si te has bajado el Fly Crypter esa es la causa