No hace mucho tiempo escaneè archivos binarios de windows (%windir%; %system32%) 7 con el antivirus ClamAv usando la Gui ClamTk desde sistema operativo Kalilinux. Varios de ellos fueron detectados como potenciales amenazas con la conocida firma PUA que no es reciente; el usuario que estè familiarizado con el manejo del antivirus ClamAv puede entender exactamente esto.
Hoy decidí ejecutar programas Anti Rootkit en sistema operativo Windows 10 en entorno virtual, quiero decir, máquina virtual.
El primer anti Rootkit que ejecutè, Windows Kernel Explorer (WKE64) fue eliminado por Eset Nod32 av. A este respecto hay que decir que este Anti Rootkit està alojado en el repositorio disponible de Indetectables.net, (suficiente argumento para declararlo carente de infecciòn o amenaza plausible) y del que su autor explicita claramente sin tapujos, ambages ni miedo de ninguna clase:
"Acerca de la firma digital y los comentarios negativos del software antivirus
Como no tengo mi propio certificado digital, tengo que utilizar un certificado digital filtrado para firmar mis controladores. Firmar archivos con certificados digitales filtrados tiene un efecto secundario: muchos programas antivirus deducen que los archivos con firma digital filtrada son sospechosos, porque muchos hackers utilizan certificados digitales filtrados para firmar malware. No me importan los comentarios negativos de ningún software antivirus, la regla es simple: si no confías en un programa, simplemente no lo uses".
La agresiva y directa detecciòn del citado antivirus, (iteradamente por cierto), sobre el legítimo y limpio anti rootkit me impulsò, casi maquinalmente, por tanto sin dilaciòn, a analizar por completo precisamente el directorio de instalaciòn de Eset Nod32.
El resultado fue (y es ) este:
Ruta:
C:\Program Files\Eset Eset Security\Modules\em003_64\ 1475
Archivo: em003_64.dll
Anàlisis con ClamAv:
Han visto bien: El antivirus ClamAv firmò una .dll perteneciente al antivirus Eset Nod32.
Despuès de tal inesperado resultado abrì la .dll potencialmente peligrosa con HexWorkshop. Y me resultaron curiosas las string. En un archivo .exe no serìa sorprendente, innovador o curioso; pero sì en un módulo, màxime cuando este pertenece a un renombrado av.
Comparto algunas imágenes; y a continuaciòn algunas desubicadas (en una primera capa superficial de lectura ) string que no estàn en orden.
(¿Privacidad? JAJAJAJAAJ)
Comparto las string extraidas con el editor hexadecimal:
Offset:
003B2A2C
comom..seste esta pero todo hace cadaa..o
biend..aas..vida
caso otro foros olo otra cualdijosidograntipotemadebealgoqu..
esto nada tres poco casa bajo todas inoagua pues uno san te dice luise
llama yo zona amor piso obra cli cell odios hora casi........
Offset
003B3B4B
sobre desde entre todos pued ea..osest..tiene hasta otros parte donde
nuevo hacer forma mismo mejor mundo aqu..d..ass..lo ayuda fecha todas tanto menos
datos otras sitio mucho ahora lugar mayores tos horas tener antes fotos estas pa..s
nueva salud foros medio quien meses poder chileser..veces decir jos..estar venta grupo
hecho ellos tengo amigo cosas nivel gente misma aires julio temas hacia favor
junio libre punto
Offset
003B3CAE
bueno autor abril buena texto marzo saber lista luego c..moenero juego per..haber
estoy nunca mujer valor fuera libro gusta igual votos casosgu..apuedo somos aviso
usted deben noche busca falta euros serie dicho curso clave casasle..nplazo largo
obras vista apoyo junto trata visto crear campo hemos cinco cargo pisos orden hacen
Offset
003B3DC8
rea disco pedro cerca pueda papel menor..tilclaro jorge calle poner tarde nadie marca
sigue ellas siglo coche motos madre clase restoni..oqueda pasar banco hijos viaje pablo..
s te viene rei node jar fondo canal norte letra causa tomarmanos lunes autos villa vendo
pesar tipos tenga marco lleva padre unido vamos zonas ambos banda maria abuso mucha subir
rioja vivir grado chica all..joven dicha estan tales salir suelo pesos fines llama busco..
sta llega negro plaza humor pagar junta doble islas bolsa ba..ohab la lucha..rea
dicen jugar notas valle all..cargado lora bajo est..gusto mente mario firma costo ficha
plata hogar artes leyes aquel museo bases pocos mitadcielo chico miedo ganar santo
etapadebes playa redes siete corte corea dudas deseo viejo de sea aguas"domaincommonst
Offset
003B665A
atusevents master
cuando enviar madrid buscar inicio tiempo porque cuenta estado pueden juegos contraest..
nnombre tienen perfil manera amigos ciudad centro aunque puedes dentro primer precio
seg..nbuenos volver puntos semana hab.
Offset
003B6713
aagosto nuevos unidos carlos equiponi..os muchos alguna correo imagen partira rribamar..
ahombre empleo verdad cambio muchas fueron pasadol..ne aparece nuevas cursos estaba
quiero libros cuanto acceso miguel varios cuatro tienes gruposser..neuropamedios frente acerca dem..s
oferta coches modelo italia letra salg..n compra cual es existe cuerpo siendo prensa llegar
viajes dinero murcia podr..puesto diario pueblo quiere manuel propio crisis cierto seguro
muerte fuente cerrar grande efecto partes medida propia ofrece tierrae-mail varias formas
futuro objeto seguir riesgo normas mismos..nico camino sitios raz.
n debido prueba toledoten..ajes..s espero cocina origen tienda cientoc..dizhablarser.
.alatina fuerza estilo guerra entrar..xitol..pez agendav..deo evitar pagina metros javier padresf.
cil cabeza..reas salida env..ojap..n abusos bienes textos llevar puedan fuerte com.
.n clases humano tenido bilbao unidad est..s editar creado
Offset
003BBD50
tambin noticias mensajes personas derechos nacional servicio contacto usuarios programa
gobierno empresas anuncios valencia colombia despu..sdeportes proyecto productop..
blico nosotros historia presentem illones mediante pregunta anterior recursos problema
santiago nuestros opini..nimprimir mientras am..rica vendedor sociedad respecto realizar
registro palabras inter..sentonces especial miembros realidadc
Offset
003BE5CF
servicios articulo argentina barcelona cualquier publicado productos pol..tica respuesta
wikipedia siguienteb..squeda comunidad seguridad principal preguntas contenid oresponder
venezuela problemas diciembre relaci..nnoviembre similares proyectos programas instituto
actividad encuentra econom..aim..genes contactar descargar necesario atenci..ntel..
fonocomisi..n canciones capacidad encontraran..lisis favoritos t..rminos provinci
a etiquetas elementos funciones resultado car..cter propiedad principio necesidad
municipal creaci..n descargas presencia comercial opiniones ejercicio editorial salamanca
gonz..lezdocumentopel..cula recientes generales tarragonapr..ctica novedades propuesta
pacientest..cnicas objetivos contactos..........
PD: Algùn enventual visitante empleado por dicho av - Eset Nod32- (hace años eran casi vitalicios de nuestra comunidad los infiltrados....) ¿me explicarìa què sentido tienen tales palabras, oraciones, textos, en fin, string? ¿Podrìan responder si hay realmente privacidad de informaciòn sensible, datos, etc?
