Similar a este:
Ni bien los recibimos pasamos a revisar el funcionamiento ya que debíamos corroborar que todo este bien y adicionalmente subir el logo de Infobyte.
Era bastante simple, pendrive U3, no permitía subir directamente imagenes, automáticamente corría un software para realizar esta tarea.
El software en cuestión era: DPFMate.exe
devnull@isrlab:/media/cdrom0$ ls
Autorun.inf flashlib.dat LanguageUnicode.ini
DPFMate.exe GEnCodeUnicode.dll StartInfoUnicode.ini
devnull@isrlab:/media/cdrom0$ md5sum DPFMate.exe
8be2e22b09d460876de3d8cc8e487571 DPFMate.exe
Al analizar un poco el binario nos dimos cuenta que el mismo era detectado por casi todos los antivirus como un backdoor/troyano.
Un detalle con las firmas que detectan dicho backdoor:
http://virscan.org/report/cf9aad6cf102c0b7057d7e06a529a7a8.html
Seguramente es un falso positivo pero no quisimos probar con nuestros clientes, pero seguro mas de uno hubiera autoejecutado por default este bicho sin percatarse del asunto.
Tuvimos que atrasar el regalito por uno nuevo, lo entregamos el viernes, vamos a ver que nos depara este nuevo espécimen.
0 comentarios:
Publicar un comentario en la entrada