domingo, 11 de outubro de 2009
Loading...
Pois é… o assunto vírus de computador esta em alta aqui pelo meu lado! Depois do episódio do maldito Win32.Virut eu despiroquei e instalei o AVIRA na opção “mala sem alça” que desconfia até a da própria sombra e ativei o shell guard, coisa que eu nunca gostei, afinal o anti-virus lerdeia o operação de explorar uma pasta, pois ele fica o tempo todo xeretando nas entranhas dos arquivos. Ou seja, me rendi.
Mas desde ontem, futucando com meu cd personalizado do windows 2000 (HFSLIP nele!), o avira vivia reclamando que alguns arquivos estão infectados com o TR/Dropper.Gen.
Bom, depois de muito bater testa e não agüentar mais o avira reclamando dos “vírus” (falso-positivo) resolvi investigar o caso. Abri um dos arquivos no HEX WORKSHOP, apesar dos insistentes avisos do anti-vírus e me lembrei que esses arquivos foram gerados pela ferramenta IEXPRESS, presente no próprio windows.
Mas se são arquivos que eu mesmo gerei e partir de um ambiente limpo, o que esta errado? Tudo ai não passa de instaladores de programas reempacotados e com as chaves de linha de comando para se instalar com os parâmetros comuns sem fazer pergunta, que é utilizado para auto-instalação no cd do windows.
Resolvi refazer um dos pacotes, para ver em que ponto do processo acontecia o falso-positivo. Peguei um dos pacotes que acusavam vírus e extrai os arquivos de dentro dele, nos arquivos… nada, tudo limpo.
Iniciei o IEXPRESS, adicionei os mesmíssimos arquivos e gerei o pacote como era antes. Até ai, nada de acusar vírus. Abri o pacote finalizado no RESHACKER para trocar o ícone padrão do IEXPRESS, quando mandei salvar o arquivos, surpresa! O avira apitou! Enfim, a combinação do pacote gerado pelo IEXPRESS, e a recompilação do resource pelo RESHACKER, para a troca do ícone, gera o falso positivo.
Experimentei outra ferramente para trocar o ícone, no caso o EXESCOPE, e problema resolvido!
Veja a analise do site virustotal em cima de um arquivo com falso-positivo:
O arquivos ai não tem nada demais… dentro dele tem o instalado do winamp 5.52, o arquivo de registro do winamp com os parametros iniciais que eu quero. O pacotinho extrai os arquivos na pasta /temp executa o comando “regedit /S winamp_config.reg” e incia o winamp.exe com os paramentro “/VERYSILENT /SP- /TASKS=dekstopicon,startmenuicon,quicklaunchicon”
Vai entender…
4:30 AM | 
Luciano | 
Nenhum comentário
Badulaques da China
1) Os comentários são moderados.
2) Comentários que não sejam referentes ao assunto do post serão excluídos.
3) Eu posso editar seu comentário antes de publicar, se o achar necessário.