Buenas, me preguntaba como puedo identificar un falso positivo de un archivo realmente infectado echo en autoIT, conozco las herramientas típicas, subir el ejecutable a algun scan online y ver las firmas, ejecutarlo en una máquina virtual y ver si efectua alguna conexion con el tcpview, sandbox online (no me sirven).
Quisiera saber si aparte de esto hay algun indicio que pueda saber que el archivo trae algun tipo de "regalo" o alguna herramienta mas que desconozca para poder analizarlo a fondo.
Un saludo y gracias por adelantado
Hola 000000_mx. Disculpá mi ignorancia, pero no sé qué es autoit.
Con respecto a las maneras de saber si un archivo trae un regalito, una es la que acabás de mencionar, esto es, ejecutar el archivo en una máquina virtual y ver si establece una conexión, ignoro realmente si un rootkit (que te puede venir en el archivo) puede esconder la conexión; otra forma es abrir el archivo con un editor hexadecimal y ver las strings ,la librerías, ect, propias de un malware; en la cabecera y al final del archivo verás si tiene adjuntado algún otro archivo, pero no siempre los Binder o joiner dejan ese rastro.
Más de eso no sé.
Con respecto a las maneras de saber si un archivo trae un regalito, una es la que acabás de mencionar, esto es, ejecutar el archivo en una máquina virtual y ver si establece una conexión, ignoro realmente si un rootkit (que te puede venir en el archivo) puede esconder la conexión; otra forma es abrir el archivo con un editor hexadecimal y ver las strings ,la librerías, ect, propias de un malware; en la cabecera y al final del archivo verás si tiene adjuntado algún otro archivo, pero no siempre los Binder o joiner dejan ese rastro.
Más de eso no sé.
