Menú

¿Quieres analizar tráfico HTTP sospechoso?

CapTipper v0.3  Analizador de tráfico HTTP

 

CapTipper v0.3: http://www.omriher.com/2015/08/captipper-v03-is-out.html
CapTipper v0.2: http://www.omriher.com/2015/03/captipper-02 -released.html
CapTipper v0.1: http://www.omriher.com/2015/01/captipper-malicious-http-traffic.html

CapTipper es una herramienta python para analizar, explorar y simular el tráfico malicioso HTTP.
CapTipper configura un servidor web que actúa exactamente como el servidor en el archivo PCAP,
y contiene herramientas internas, con una potente consola interactiva, para el análisis e inspección de los hosts, objetos y conversaciones encontradas.

La herramienta brinda al investigador de seguridad acceso fácil a los archivos y la comprensión del flujo de la red,
y es útil cuando se trata de investigar exploits, precondiciones, versiones, ofuscaciones, complementos y shellcodes.

Al alimentar a CapTipper con una captura de tráfico drive-by muestra al usuario URI de solicitudes que se enviaron y los metadatos de las respuestas.
El usuario puede en este momento navegar a http://127.0.0.1/[host]/[URI] y recibir la respuesta nuevamente en el navegador. Tambien lanza un shell  para una investigación más profunda usando varios comandos como: hosts, hexdump, info, ungzip,etc.

CapTipper lanza un pseudo servidor web local que escucha en 0.0.0.0 y se comporta como el servidor web en el PCAP. El servidor web no es real y no usa biblioteca de servidor web de python. Utiliza la biblioteca SocketServer y el análisis de solicitud. Las respuestas usan socket bruto. El motivo del uso de archivos PCAP se da por que no almacenarán en el sistema de archivos para evitar poner en peligro la máquina de los investigadores en caso de que la herramienta se utilice en una estación de trabajo y asi no  existe ningún problema con la aparición de AntiVirus mientras se manipulan los archivos, ya que solo se almacenan en los “datasets” de memoria de CapTippers (descritos en el núcleo).

CapTipper está escrito en Python2.7  fue probado en Windows, Linux y Mac, y no requiere instalación adicional, los requisitos previos se incluyen en la carpeta de proyectos. Usa la  versión modificada de la biblioteca “pcap_parser” para analizar el archivo PCAP.

La clase “CapTipper Core”le añade funciones ejecutadas por la consola, crear y almacena la información de PCAP.

CapTipper  realiza informes HTML para visualización y uso compartido también informes JSON para recopilación de información por parte de un tercero.

Documentación en: http://captipper.readthedocs.org

Descarga la herramienta aquí:
https://github.com/omriher/CapTipper

 


### Ejemplo de un análisis

Uso: ./CapTipper.py < PCAP_file > [-p] [web_server_port = 80]

Analicemos la siguiente infección de drive de Nuclear EK PCAP 2014-11-06-Nuclear-EK-traffic.pcap

C: \ C apTipper > CapTipper.py " C: \ NuclearFiles \ 2014-11-06-Nuclear-EK-traffic.pcap "

CapTipper v0.1 - Herramienta de exploración de tráfico HTTP malicioso
Copyright 2015 Omri Herscovici < omriher@gmail.com >

[A] Análisis de PCAP: C: \ N uclearFiles \ 2 014-11-06-Nuclear-EK-traffic.pcap

[+] Tiempo de actividad de tráfico: jue, 11/06/14 17:02:35
[+] Conversaciones encontradas:

0: / - > text / html (0.html) [5509 B]
1: /wp-includes/js/jquery/jquery.js ? ver = 1.7.2 - > application / javascript (jquery.js) [39562 B]
2: /seedadmin17.html - > text / html (seedadmin17.html) [354 B]
3: /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html - > text / html (15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html) [113149 B]
4: /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg - > image / jpeg (MetroWest_COVER_Issue2_Feb2014.jpg) [350008 B]
5: /images/footer/3000melbourne.png - > image / png (3000melbourne.png) [2965 B]
6: /images/footer/3207portmelbourne.png - > image / png (3207portmelbourne.png) [3092 B]
7: /wp-content/uploads/2012/09/background1.jpg - > image / jpeg (background1.jpg) [33112 B]
8: / 00015d76d9b2rr9f / 1415286120 - > application / octet-stream (00015d76.swf) [31579 B]
9: / 00015d766423rr9f / 1415286120 - > application / pdf (XykpdWhZZ2.pdf) [9940 B]
10: / 00015d76rr9f / 1415286120/5 / x00809070554515d565b010b03510053535c0505 ; 1 ; 6 - > application / octet-stream (5.exe) [139264 B]
11: / 00015d76rr9f / 1415286120/5 / x00809070554515d565b010b03510053535c0505 ; 1 ; 6 ; 1 - > application / octet-stream (5.exe) [139264 B]
12: / 00015d76rr9f / 1415286120/7 - > application / octet-stream (7.exe) [139264 B]
13: / 00015d761709rrf / 1415286120 - > application / octet-stream (00015d76.swf) [8064 B]
14: / 00015d76rr9f / 1415286120/8 - > application / octet-stream (8.exe) [139264 B]


[+] Se inició el servidor web en http: // localhost: 80
[+] Escuchando solicitudes ...

Intérprete CapTipper
Escriba ' abrir <id. De conversación> ' para abrir la dirección en el tipo de  navegador
 ' hosts ' para ver el flujo de tráfico
Escribe ' ayuda '  para más opciones

CT >

La inicialización genera las conversaciones encontradas entre el cliente y el servidor en el siguiente formato:

[ID]: URI DE SOLICITUD -> TIPO DE RESPUESTA DEL SERVIDOR (NOMBRE DEL ARCHIVO) [TAMAÑO EN BYTES]

ID : un Id asignado a la conversación específica
URI DE SOLICITUD : El URI que se envió al servidor en la solicitud GET.
TIPO DE RESPUESTA DEL SERVIDOR : El tipo de contenido devuelto en el encabezado de respuesta del servidor
NOMBRE DEL ARCHIVO : El nombre del archivo puede ser un par de cosas:

  1. Atributo de nombre de archivo dado en el encabezado de respuesta
  2. Derivado del URI
  3. Asignado por CapTipper si no pudo encontrar ninguno de los anteriores

TAMAÑO EN BYTES : tamaño del cuerpo de respuesta

Después de la Inicialización, ocurren 2 cosas:

  1. CapTipper crea un servidor pseudo-web que se comporta como el servidor web en el pcap
  2. Se lanza un intérprete

El intérprete contiene herramientas internas para una mayor investigación de los objetos en el pcap.

Abrir un URI en el navegador es simplemente escribiendo ‘abrir’ junto con el ID del objeto

CT > abrir 0
CT > log
[2015-01-09T18: 01: 28.878000] 127.0.0.1 : GET / HTTP / 1.1
  • Ninguno de los comandos (excepto ‘abrir’) realmente requiere que el servidor se esté ejecutando. Puede apagar el servidor escribiendo ‘server off’ o agregando -s al llamar a CapTipper.

Veamos qué podemos averiguar sin usar el navegador.  Primero, tomaremos una vista de pájaro sobre el tráfico usando el comando ‘hosts’

CT > hosts
Anfitriones o Hosts encontrados:

 www.magmedia.com.au
 ├-- / [0]
 ├-- /wp-includes/js/jquery/jquery.js ? ver = 1.7.2 [1]
 ├-- /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg [4]
 ├-- /images/footer/3000melbourne.png [5]
 ├-- /images/footer/3207portmelbourne.png [6]
 └-- /wp-content/uploads/2012/09/background1.jpg [7]


 pixeltouchstudios.tk
 └-- /seedadmin17.html [2]


 grannityrektonaver.co.vu
 ├-- /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html [3]
 ├-- / 00015d76d9b2rr9f / 1415286120 [8]
 ├-- / 00015d766423rr9f / 1415286120 [9]
 ├-- / 00015d76rr9f / 1415286120/5 / x00809070554515d565b010b03510053535c0505 ; 1 ; 6 [10]
 ├-- / 00015d76rr9f / 1415286120/5 / x00809070554515d565b010b03510053535c0505 ; 1 ; 6 ; 1 [11]
 ├-- / 00015d76rr9f / 1415286120/7 [12]
 ├-- / 00015d761709rr9f / 1415286120 [13]
 └-- / 00015d76rr9f / 1415286120/8 [14]

Parece que www.magmedia.com.au es el sitio comprometido.

Al cruzar esta información y los tipos de archivos que obtuvimos en la lista de conversaciones, parece que grannityrektonaver.co.vu es el host infectante.

Entonces, ¿qué es pixeltouchstudios.tk ?

Bueno, sabiendo cómo funcionan los exploit-kits, este es probablemente el servidor TDS (Traffic Distribution System).
Miremos más de cerca.

Podemos imprimir el encabezado y el cuerpo de la página escribiendo ‘head’ y ‘body’:

CT > head 2
Mostrando el encabezado del objeto 2 (seedadmin17.html):

HTTP / 1.1 302 Found
Servidor: nginx
Fecha: jue, 06 nov 2014 15:02:38 GMT
Content-Type: text / html ; charset = iso-8859-1
Longitud del contenido: 354
Conexión: keep-alive
Set-Cookie: ehihm = _YocADE3AAIAAgCvjVtU __. VjVtUQAABAAAr41bVAA- ; vence = viernes, 06-nov-2015 15:03:11 GMT ; ruta = / ; domain = pixeltouchstudios.tk
Ubicación: http://grannityrektonaver.co.vu/15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html

CT > body 2
Visualización del cuerpo del objeto 2 (seedadmin17.html) [256 bytes]:

< ! DOCTYPE HTML PUBLIC " - // IETF // DTD HTML 2.0 // ES " > 
< html> <head > 
< title > 302 Encontrado < / title > 
< / head> <body > 
< h 1> Found < / h 1> 
< p > El documento se ha movido < a href = " http://grannityrektonaver.co.vu/15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html " > aquí < / a > . <
hora
  • Por deafult, el comando body devuelve el primer byte de 256, puede cambiarlo escribiendo cuerpo 2 1000 – esto imprimirá los primeros 1000 bytes

Vemos que el objeto 2 devuelve una redirección 302 al host infectante.
Entonces nuestra hipótesis probablemente sea cierta.

Obtenga más información sobre el objeto 2 escribiendo ‘información’:

CT > info 2
Información de la conversación 2:

 IP del    servidor : 108.61.196.84:80
 HOST         : pixeltouchstudios.tk
 URI          : /seedadmin17.html
 REFERER      : http://www.magmedia.com.au/
 RESULTADO NUM   : 302 Encontrado
 TIPO DE RESULTADO : text / html
 NOMBRE DEL ARCHIVO    : seedadmin17.html
 LONGITUD       : 354 B

La referencia a esa página fue, por supuesto , magmedia.co.au , pero ¿qué nos redirigió exactamente?

Al mirar las conversaciones, probablemente era la página de índice o el archivo javascript.
Echemos un vistazo rápido al archivo javascript (objeto 1)

CT > body 1
Visualización del cuerpo del objeto 1 (jquery.js) [256 bytes]:

▼ ♦ ♥ ─╜i { # ╟ס╢√} ~ ♣ X╓t ♥ ═ "HJ צ g♀░ → o½% Y▓╡ ם║ m┘CR║ 
@a ! ▒P ╪כ ?o ≈! ╣TJ ≥ £ ≈ \ g ╞jó╢ \ " # c ן╚ πg ÷ ry≤ ~ 5↔O6 םμ╦ Vπ├ ףף h | ╛ * ך╞ l6 σ ≤ ¥ ▀ ▀ ▀ ▀ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ 
▐≥ ▐▌4ף f »≤π╢█h% ח y {U▄╠≥A╤ < n ₧ _┤ ? Φ = █▐▌_4 / Z↨τ↨ ק↨↨↨╟↨ח ? ^ ╢מ╟ irq ± ┴i

Hmm … ¿Qué está pasando? Veamos el encabezado

CT > head 1
Mostrando el encabezado del objeto 1 (jquery.js):

HTTP / 1.1 200 OK
Content-Encoding: gzip
Variar: Aceptar-Codificar
Fecha: Jue, 06 Nov 2014 15:03:41 GMT
Servidor: LiteSpeed
Rangos de aceptación: bytes
Conexión: Keep-Alive
Keep-Alive: timeout = 5, max = 100
Última modificación: lun, 10 feb. 2014 12:34:10 GMT
Tipo de contenido: application / javascript
Longitud del contenido: 39562
Cache-Control: public, max-age = 604800
Vence: jue, 13 de noviembre de 2014 15:03:41 GMT

La respuesta tiene gzip.
Vamos a descomprimirlo:

CT > ungzip 1
 Descompresión de GZIP del objeto 1 (jquery.js) exitosa ! 
 Nuevo objeto creado: 15

Estupendo. un nuevo objeto fue creado (15).
Veámoslo.

CT > body 15
Visualización del cuerpo del objeto 15 (ungzip-jquery.js) [256 bytes]:

/ *
Copyright (C) 2007 Free Software Foundation, Inc. http://fsf.org/
* /
 function  getCookie (a) {var b = document.cookie.match (nuevo RegExp ( " (?: ^ |;) " + a.replace (/ ([ \. $? * | {} \ (\) \ [\] \\\ / \ + ^]) / g, " \\ $ 1 " ) + " = ([^;] *) " )); devolver b ? DecodeU
RIComponent (b [1]): undefined} (funct

Esta es la versión sin comprimir del archivo JS.
Recuerde, queremos averiguar qué nos redirigió al TDS, podemos
suponer que era un iframe, así que busquemos iframes en el nuevo objeto usando el comando ‘iframes’.

CT > iframes 15
Búsqueda de  iframes  en el objeto 15 (ungzip-jquery.js) ...
 1 Iframe (s) encontrado !

 [I] 1 : http://pixeltouchstudios.tk/seedadmin17.html

Ahí lo tienes, el atacante plantó / modificó este javascript y lo envió a los usuarios al TDS.

Ahora echemos un vistazo a los archivos del servidor infectante.
escribiendo ‘convs’ nuevamente mostrará las conversaciones:

CT > convs
Conversaciones encontradas:

0: / - > text / html (0.html) [5509 B]
1: /wp-includes/js/jquery/jquery.js ? ver = 1.7.2 - > application / javascript (jquery.js) [39562 B]
2: /seedadmin17.html - > text / html (seedadmin17.html) [354 B]
3: /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html - > text / html (15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html) [113149 B]
4: /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg - > image / jpeg (MetroWest_COVER_Issue2_Feb2014.jpg) [350008 B]
5: /images/footer/3000melbourne.png - > image / png (3000melbourne.png) [2965 B]
6: /images/footer/3207portmelbourne.png - > image / png (3207portmelbourne.png) [3092 B]
7: /wp-content/uploads/2012/09/background1.jpg - > image / jpeg (background1.jpg) [33112 B]
8: / 00015d76d9b2rr9f / 1415286120 - > application / octet-stream (00015d76.swf) [31579 B]
9: / 00015d766423rr9f / 1415286120 - > application / pdf (XykpdWhZZ2.pdf) [9940 B]
10: / 00015d76rr9f / 1415286120/5 / x00809070554515d565b010b03510053535c0505 ; 1 ; 6 - > application / octet-stream (5.exe) [139264 B]
11: / 00015d76rr9f / 1415286120/5 / x00809070554515d565b010b03510053535c0505 ; 1 ; 6 ; 1 - > application / octet-stream (5.exe) [139264 B]
12: / 00015d76rr9f / 1415286120/7 - > application / octet-stream (7.exe) [139264 B]
13: / 00015d761709rrf / 1415286120 - > application / octet-stream (00015d76.swf) [8064 B]
14: / 00015d76rr9f / 1415286120/8 - > application / octet-stream (8.exe) [139264 B]

Entonces, ¿qué tenemos aquí?
Parece que tenemos 1 archivo PDF, 2 archivos SWF y 4 archivos EXE que probablemente fueron descargados por Shellcode.

Podemos volcar todos los archivos en una carpeta para una inspección más profunda utilizando la función ‘volcado’, podemos agregar ‘-e’ para evitar descargar los archivos EXE, por lo que no los lanzaremos accidentalmente.

CT > volcar todo c: \ N uclearFiles -e
 Objeto 0 escrito en c: \ N uclearFiles \ 0 -0.html
 Objeto 1 escrito en c: \ N uclearFiles \ 1 -jquery.js
 Objeto 2 escrito en c: \ N uclearFiles \ 2 -seedadmin17.html
 Objeto 3 escrito en c: \ N uclearFiles \ 3 -15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html
 Objeto 4 escrito en c: \ N uclearFiles \ 4 -MetroWest_COVER_Issue2_Feb2014.jpg
 Objeto 5 escrito en c: \ N uclearFiles \ 5 -3000melbourne.png
 Objeto 6 escrito en c: \ N uclearFiles \ 6 -3207portmelbourne.png
 Objeto 7 escrito en c: \ N uclearFiles \ 7 -background1.jpg
 Objeto 8 escrito en c: \ N uclearFiles \ 8 -00015d76.swf
 Objeto 9 escrito en c: \ N uclearFiles \ 9 -XykpdWhZZ2.pdf
 Objeto 13 escrito en c: \ N uclearFiles \ 1 3-00015d76.swf
 Objeto 15 escrito en c: \ N uclearFiles \ 1 5-ungzip-jquery.js

Como puede ver, también descarga el archivo javascript sin comprimir recién creado.

También podemos examinar los archivos usando CapTipper.
Echemos un vistazo al primer archivo SWF usando ‘hexdump’.

CT > hexdump 8
Mostrando hexdump del objeto 8 (00015d76.swf) cuerpo [256 bytes]:

0000 5A 57 53 17 E4 1B 01 01 4A 7B 00 00 5D 00 00 00 ZWS ..... J {..] ...
0010 01 00 3B FF FC 8E 19 FA DF E7 66 08 A0 3D 3E 85 ... ; ....... f .. = > .
0020 F5 75 6F D2 74 6B 7F 7F 31 2C 92 04 FD 10 0A EE .uo.tk..1, ......
0030 E2 C5 C2 C9 4C 83 91 74 AE C8 7C 80 F6 31 A6 CE .... L..t .. | ..1 ..
0040 C0 15 CB 62 8D 76 42 8B 28 96 D3 83 FE 20 DE 57 ... b.vB. (.... .W
0050 7B E4 D2 F1 D8 BC E6 45 CF DC 7B 79 38 41 60 1F {...... E .. {y8A ` . 
0060 0A E9 E4 10 8B F8 DA 0D A6 32 CF E1 E6 E9 78 AB ......... 2 .... x. 
0070 8B A7 8A C5 62 8F 0B 31 84 41 10 75 B1 33 35 9D .... b..1.Au35. 
0080 6E BA 30 B8 AE EB 78 33 31 67 36 42 01 36 4A A3 n.0 ... x31g6B.6J. 
0090 C8 CB 29 B5 36 6E BF A7 D2 3B 9F 5C 6B A8 4A 9F ..). 6n ... ; . \ k .J. 
00A0 A5 59 5F 7F 43 98 39 43 E8 90 69 C7 9D 84 3A 9C .Y_.C.9C..i ...:. 
00B0 36 1D E6 12 F8 EB 03 EA F4 59 2A FD 71 9F 15 DB 6 ........ Y * .q ... 
00C0 4B F3 C3 C4 4C 70 11 A1 19 25 C8 79 6E 4A 5E 4C K ... Lp ...%. YnJ ^ L
00D0 10 F5 A2 F9 1A E0 18 42 9D 87 9D 39 12 39 57 89 ....... B ... 9.9W. 
00E0 CF EF 41 78 2E 57 88 C9 A5 BA F2 0E FC E0 5E B5 ..Ax.W ........ ^. 
00F0 66 0C B4 7E A2 0B C4 D7 65 F8 12 57 98 58 16 16 f .. ~ .... e..WX.

Ahora echemos un vistazo a la segunda:

CT > hexdump 13
Mostrando hexdump del objeto 13 (00015d76.swf) cuerpo [256 bytes]:

0000 50 4B 03 04 14 00 00 08 08 00 81 7A 5D 45 6F 8B PK ......... z] Eo.
0010 BE 6C D2 00 00 00 6B 01 00 00 10 00 00 00 41 70 .l .... k ....... Ap
0020 70 4D 61 6E 69 66 65 73 74 2E 78 61 6D 6C 85 8F pManifest.xaml ..
0030 C1 4A 03 31 10 86 EF 42 DF 21 E4 01 92 50 6A 95 .J.1 ... B. ! ... Pj.
0040 C5 2D 14 F4 2A A5 8A F7 98 9D DA 60 66 12 32 69 .- .. * ...... ` f.2i 
0050 9B 7D 36 0F 3E 92 AF E0 D6 A2 EC 61 C1 EB 37 FF. } 6. > ...... a..7. 
0060 C7 C7 7C 7D 7C DE DD 43 0A B1 47 A0 22 2A 06 E2 .. | } | ..C..G. " * .. 
0070 56 EE 4B 49 8D D6 EC F6 80 96 15 7A 97 23 C7 5D V.KI ....... z. #.] 
0080 51 2E A2 76 C1 0F 53 3D 37 E6 46 77 7F AA BC B8 Q..v..S = 7.Fw .... 
0090 4D FD C7 3E 79 DA D5 B3 BC D4 D5 62 90 E2 81 4A M ..> y ...... b ... J 
00A0 EE 37 D1 53 59 33 03 BE 86 BE 95 15 F2 D1 A2 25 .7.SY3 .........% 
00B0 48 B0 00 7A F7 E3 D5 73 9F A0 95 96 BB 37 EE D4 H ..z ... s ..... 7 ..
00C0 3A 25 29 B6 07 2A 1E E1 05 32 FB 48 AD 5C 28 A3:%) ... * ... 2.H. \ (. 
00D0 AE CD ED 7C A9 8C 5C CD AE 84 18 7D A8 36 36 17 ... | .. \ ....}. 66. 
00E0 FE A1 03 FF 2D 9E A1 A8 CD A3 45 98 8A 3F C5 43 .... -... E ..?. C 
00F0 76 13 17 D5 85 E1 01 7D 69 E8 89 C8 18 AE BE 01 v ......} i .......

Interesante … Este archivo comienza con los bytes mágicos ‘PK’, lo que significa que es en realidad un archivo zip, que puede ser un par de cosas.

Echemos un vistazo a los archivos dentro del zip usando el comando ‘ziplist’

CT > ziplist 13
 2 archivos encontrados en el objeto zip 13 (00015d76.swf):

 [Z] 1 : AppManifest.xaml
 [Z] 2 : xervamanepe4enki.dll

Bueno, parece que esto es en realidad un exploit de Silverlight.
Ahora podemos volcarlo con su extensión real:

CT > dump 13 c: \ N uclearFiles \ S ilver_exp.xap
 Objeto 13 escrito en c: \ N uclearFiles \ S ilver_exp.xap

También podemos enviar el hash md5 del archivo a VirusTotal para ver si es reconocido por alguno de los proveedores de Anti-Virus, usando el comando ‘vt’.
Esto requiere una clave de API pública de VirusTotal.
(¡El archivo en sí no se envía a VT, solo se envía el hash del archivo!)

CT > vt 13
 Resultado de VirusTotal para el objeto 13 (00015d76.swf):

 Detección: 37/56
 Fecha del último análisis: 2014-12-11 13:15:33
 Enlace de informe: https: //www.virustotal.com/file/5bcb20f506ce854eb3191ca87a14c5777cdcb0f96ffec0b6 ...

 Resultado de la exploracion:
        MicroWorld-eScan Trojan.GenericKD.1962112 12.0.250.0 20141211
        nProtect Trojan.GenericKD.1962112 2014-12-11.01 20141211
        CAT-QuickHeal Trojan.Generic.r3 14.00 20141210
        McAfee RDN / Genérico Exploit ! 1ns 6.0.5.614 20141211
        Malwarebytes Trojan.Agent 1.75.0.1 20141211
        VIPRE Trojan.Win32.Generic ! BT 35624 20141211
        K7AntiVirus Exploit (004b06661) 9.186.14309 20141211
        K7GW Exploit (004b06661) 9.186.14308 20141211
        Agnitum Exploit.CVE-2013-0074 !   5.5.1.3 20141210
        F-Prot W32 / CVE130074.I 4.7.1.166 20141211
        Symantec Trojan.Gen.2 20141.1.0.330 20141211
        Norman CVE-2013-0074.D 7.04.04 20141211
        TotalDefense Win32 / Tnega.DPSQOR 37.0.11324 20141211
        TrendMicro-HouseCall Suspicious_GEN.F47V1112 9.700.0.1001 20141211
        Avast Win32: Malware-gen 8.0.1489.320 20141211
        ClamAV SILVERLIGHT.Exploit.Nuclear 0.98.5.0 20141211
        BitDefender Trojan.GenericKD.1962112 7.2 20141211
        NANO-Antivirus Exploit.Win32.CVE20130074.dikfyh 0.28.6.63850 20141211
        Ad-Aware Trojan.GenericKD.1962112 12.0.163.0 20141211
        Sophos Mal / Generic-S 4.98.0 20141211
        Comodo UnclassifiedMalware 20333 20141211
        F-Secure Trojan.GenericKD.1962112 11.0.19100.45 20141211
        DrWeb Exploit.CVE2013-0074.36 7.0.10.8210 20141211
        McAfee-GW-Edition RDN / Genérico Exploit ! 1ns v2014.2 20141211
        Emsisoft Trojan.GenericKD.1962112 (B) 3.0.0.600 20141211
        Cyren W32 / CVE130074.MCZQ-2806 5.4.1.7 20141211
        Avira EXP / Silverlight.Gen2 7.11.194.74 20141211
        Antiy-AVL Trojan / Win32.SGeneric 1.0.0.1 20141211
        Exploit de Microsoft: MSIL / CVE-2013-0074.F 1.11202 20141211
        GData Trojan.GenericKD.1962112 24 20141211
        ALYac Exploit.CVE-2013-0074 1.0.1.4 20141211
        AVware Trojan.Win32.Generic ! BT 1.5.0.21 20141211
        Panda Exploit / CVE-2013-0074 4.6.4.2 20141211
        ESET-NOD32 una variante de Win32 / Exploit.CVE-2013-0074.BZ 10861 20141211
        Ikarus Exploit.CVE-2013-0074 T3.1.8.5.0 20141211
        AVG Exploit_c.ABKR 15.0.0.4235 20141211
        Baidu-International Trojan.Win32.CVE-2013-0074.bBZ 3.5.1.41473 20141211

Observamos que la mayoría de los Anti-Virus detectaron este archivo como malicioso, mientras que algunos incluso proporcionaron el exploit CVE (2013-0074).

  • Si no tiene una clave API pública de VirusTotal, puede usar el comando ‘hash’ y enviar manualmente el hash a VirusTotal.