![](https://cutt.ly/aknTxqS) ## **USB File Resc es detectado como un malware.** Al cabo de los 3 días desde que fué lanzado USB File Resc, los motores de antivirus nos dieron un inesperado giro hacia nuestro destino. Cuando el programa se lanzó, tenía 10 detecciones de antivirus. Pero de un día para otro, las detecciones subieron a 33 y finalmente a 45. Realmente me sorprendió. Saber que USB File Resc no era bien recibido por los antivirus fue algo desanimante, ya que esto es un impedimento para que la gente obtenga nuestro programa. ¿Que más podemos hacer? Realmente nada. A continuación redactaré a detalle el motivo por la cual USB File Resc es detectado como malware por la mayoría de los motores de búsqueda. Ahora nosotros estamos como los "piratas". Es cuestión de cada quien en confiar en nosotros. No obligamos a nadie a usar USB File Resc, y los que lo han usado a pesar de las detecciones y la mala calificación, lo agradecemos tanto. La manera en la que ustedes nos pueden ayudar, es marcado como "falso dispositivo" cuando tu antivirus lo detecte como malware. ----- ## **¿Por qué USB File Resc es detectado por los motores de antivirus como un Malware?** Los antivirus (o la mayoría) trabajan por medio de un "analisis heurístico". ¿Qué es un analisis heurístico?. Básicamente es cuando un antivirus analiza el código de un software en busca de alguna anomalía. Anomalías, en el sentido de que, puedan dañar tu sistema operativo. Esto es muy útil para los antivirus cuando un malware es nuevo. Ya que lo pueden detectar con una rapidez antes de que sea conocido. Por eso cuando analizas un software en VirusTotal, las detecciones tienen nombres idénticos. ![](https://cutt.ly/rknYYJs) En resumen, USB File Resc es detectado por los motores de antivirus como un malware por las funciones que hace. Recordemos que USB File Resc es un escáner. Suele buscar dentro de carpetas muy sensibles como la de Windows en el Disco local C, ver el auto-arranque, ver en Program Files, ver en Appdata, Roaming y ver parámetros del regedit. Si USB File Resc detecta con su pequeña base de datos que algún virus está alojado ahí, lo elimina. La "acción" de eliminar archivos en las carpetas sencibles de Windows suele ser visto como algo malo por los antivirus. ----- ## **Análisis de USB File Resc y la razón del porque es detectado como algo malisioso.** Los datos escritos a continuación, son análisis hechos por terceros, y pueden ser comprobados mediante los enlaces que expresaré a continuación. También, si no confías en nosotros; puedes explorar USB File Resc en una máquina virtual, y comprobar por tu propia cuenta que el programa no es malicioso. Si eres programador y sabes más del tema, puedes obtener el código fuente de USB File Resc, verás que dentro no hay intensiones negativas. ![](https://cutt.ly/mknILF8) **Hybrid Analysis** es un servicio gratuito de análisis de malware que detecta y analiza amenazas desconocidas con una tecnología exclusiva de análisis híbrido. Ésta página es totalmente ajena a USB File Resc, Streuner Corporation y Toolslib. En ella, cualquier persona puede subir archivos maliciosos y ver su comportamiento en una forma detallada e informativa. En dicha página analizaremos a USB File Resc. **Link**: https://www.hybrid-analysis.com/sample/9763231bc6e8fad8ce00a43790a76323840bb4cbc16184a7473a5bf771b19c3f/601f8e8635d16e5847405bda ![](https://cutt.ly/7knOxLp) Las imágenes serán mostradas en español, traducidas con el traductor de Google Chrome. ![](https://cutt.ly/mknOP4H) Primero nos encontramos con "Respuesta al incidente" en "Evaluación de riesgos". Esta sección dice en partes muy resumidas lo que el programa de USB File Resc hace. **Acceso remoto**: Lee claves relacionadas con el servicio de terminal (a menudo relacionadas con RDP) > Es correcto, USB File Resc lee el REGEDIT. Pues en él, se encuentran claves de virus y cuando son detectados por USB File Resc son eliminados para siempre. Comúnmente los virus se guardan ahí para autoiniciarse cuando Windows se inicia. **Persistencia**: Genera muchos procesos **Evasivo**: Marca el archivo para su eliminación. Utiliza el tiempo de espera excesivamente (a menudo se usa para omitir el análisis) Es detectado como persistente y evasivo por la cantidad de veces que se ocupó el "timeout". El TIMEOUT se ocupa en el CMD para hacer una pausa con unos segundos programados. En este caso, nosotros usamos el TIMEOUT para realizar algunas animaciones en el programa, en el cambio de color y en la transacción de ventanas. Por ejemplo: ![](https://cutt.ly/zknGeZE) En este cuadro, se muestra a USB File Resc con los "timeout" funcionando como animaciones, se trata de "timeout" en 0 segundos. El truco está en colocar comandos de colores entre las lineas de "timeout" en las ventanas. ![](https://cutt.ly/3knGpM4) En este cuadro, se muestra a USB File REsc pero sin los "timeout". Al no contenerlos, las ventanas se muestran sin transiciones ni los cambios de colores. Ya que el cambio lo hace demasiado rápido. Si bien es cierto, entre cada ejecución de "timeout", se genera un nuevo proceso. Pero esto no afecta mucho. Ya que el proceso de "timeout.exe" se abre y cierra rápidamente, no se queda persistente. El proceso de cada "timeout.exe" dura menos de 1 segundo. Es cosa de nada. ¿Ya se olvidaron que Google Chrome lo hace como si fuera el fin del mundo, incluso cuando tienes el navegador cerrado?. Y no hablemos de "software_reporter_tool.exe" que también le pertenece a Chrome. ![](https://cutt.ly/kknGXqY) Ahora pasamos con los **indicadores maliciosos**. ![](https://cutt.ly/skWyB9y) **Ingeniería anti-reversa**: Utiliza el tiempo de espera excesivamente (a menudo se usa para omitir el análisis). Por ocupar muchas veces el comando "timeout", genera una "sospecha" en los motores de los antivirus. Ya lo mencionamos previamente. ![](https://cutt.ly/6kWudy3) **Sistemas externos**: La muestra fue identificada como maliciosa por una gran cantidad de motores antivirus. Esto es algo que ya sabemos. USB File Resc identificado como amenaza con una tasa de detección de 64%. Esto da puntaje a que Hybrid Analisys lo califique como malicioso. ![](https://cutt.ly/GkWuExp) **Instalación / Persistencia**: Asigna memoria virtual en un proceso remoto. USB File Resc siempre ha funcionado de esta manera, ya que es un programa hecho a base de comandos de windows en la ventana CMD de la consola. Al ejecutar "USB File Resc.exe" genera un pequeño archivo en formato ".bat" en la carpeta de temporales de Windows. La cual es muy fácil de eliminar con cualquier programa limpiador, como Ccleaner. Además USB File Resc suele borrar estos archivos cuando el programa no se usa, para evitar dejar basura. ![](https://cutt.ly/AkWu6mV) **Características inusuales**: Genera muchos procesos. Regresamos al tema anterior sobre los "tmeout". Al parecer, el exceso de "timeout" es lo que están mal calificando por los motores. ![](https://cutt.ly/XkWidOW) **General**: Encontré una dirección de correo electrónico potencial en binario / memoria Obviamente, nuestra dirección de correo electrónico debe estar dentro en nuestro código. Cosa normal no? ![](https://cutt.ly/zkWimdp) **Instalación / Persistencia**: Suelta archivos ejecutables. Los MODE los utilizamos para adaptar la ventana de CMD en un tamaño predeterminado. Por eso USB File Resc es un cuadrado pequeño cuando se ejecuta. ![](https://cutt.ly/7kWiKMx) Los procesos "mode.com" y "timeout.exe" son comandos ya existentes de Windows. Solo los ocupamos para poder hacer funcionar de una manera correcta a USB File Resc. ![](https://cutt.ly/YkWi3bC) **Relacionado con la red**: Dirección IP potencial encontrada en binario / memoria La IP detectada como potencialmente peligrosa: 18.0.0.0 es la versión de USB File Resc. ![](https://cutt.ly/0kWopvA) **Destrucción del sistema**: Marca el archivo para su eliminación. Abre archivo con derechos de acceso de eliminación Es correcto. USB File Resc genera estos archivos cuando se ejecuta. Al final del uso, solemos eliminar dicho archivo. Pues solo es un archivo temporal que sirve solo en el momento que USB File Resc es usado. ![](https://cutt.ly/UkWoTeJ) ![](https://cutt.ly/rkWoFTz) ![](https://cutt.ly/ukWoXAw) Ahora pasamos con los archivos extraídos. USB File Resc funciona a través de comandos en CMD de Windows. Por lo que nuestro programa está hecho 100% de comandos con la intención de ser totalmente compatible con los sistemas operativos. Cuando ejecutas USB File Resc, se descomprime un pequeño archivo en formato Batch. Mismo que es usado para mostrarte la ventana negra y verde de USB File Resc. Si miras el análisis, está totalmente limpio y no es detectado por ningún motor de antivirus. ![](https://cutt.ly/nkWpuZC) El archivo "winhttpjs.bat" es un archivo que nosotros ocupamos para colectar información. Cuenta la cantidad en la que es usado USB File Resc. La cantidad de veces que muestra algún error, etc. Dicha colecta de información es especificada y detallada en los términos y condiciones de USB File Resc. ----- ## **Any.Run** Otro sandbox en la nube que también se encarga de analizar en una computadora virtual aquellos programas sospechosos. La ventaja es que tienes de 1 a 5 minutos para usar la máquina virtual. ![](https://cutt.ly/YkWpKei) **Link**: https://app.any.run/tasks/a43f9415-64e6-46f3-b0fe-a83c441ed32c/ **Link**: https://any.run/report/9763231bc6e8fad8ce00a43790a76323840bb4cbc16184a7473a5bf771b19c3f/a43f9415-64e6-46f3-b0fe-a83c441ed32c Prácticamente te muestra la misma información mencionada anteriormente por Hybrid Analysis pero de otra manera. Para no hacer largo el contenido de este blog, lo dejaremos hasta aquí junto con los enlaces para que tú mismo puedas comprobar. ![](https://cutt.ly/AkWaeZN) ![](https://cutt.ly/XkWayEi) ![](https://cutt.ly/okWaddI) USB File Resc usa una pequeña conexión a internet para enviar los datos de uso. Mismos aterrizan en este mismo sitio web: Toolslib. ----- ## **En resumen.** Creamos esta herramienta de limpieza para que todas las personas puedan desinfectar sus Discos Extraíbles de una manera rápida, fácil y con unos pocos clics. Es desición de cada quien usar esta herramienta. No obligamos a nadie a usarla. Gracias a todas las personas que desde el primer día, descargaron y usaron USB File Resc. Pese a la mala reputación que tiene con los motores de antivirus, USB File Resc mantiene un ritmo de descarga y un ritmo de uso bastante activo. Esto me causa alivio, dan ganas de seguirlo actualizando para volverlo cada vez más poderoso. Espero seguir contando con el apoyo de todos ustedes, pese a estas dificultades que estamos teniendo.