Archivo extraño llamado Aview.exe - WinClient

2

Hoy acabo de descubrir algunos archivos extraños en mi PC con Win 7. Estaba navegando a través de las Reglas de entrada del Firewall de Windows y vi dos reglas ACEPTAR para un programa, Aview.exe.
Se encuentra en C: \ Users \ Administrator \ TEMP y contiene:
Data1.dat
AView.exe
DEFAULT.INI

No lo veo ejecutándose en el Administrador de tareas y no está listado en msconfig / Inicio. Tampoco se puede encontrar ninguna entrada sospechosa listada como un Servicio. Utilicé Tcpview para supervisar si crea alguna conexión nueva cuando la ejecuto, pero no lo hace.

No tengo idea de cómo llegó allí y las búsquedas en Google no arrojaron resultados relevantes. Antivirus no dice nada al respecto. Anteriormente, cuando inicié mi PC, la pantalla de inicio de sesión no mostraba a mis usuarios locales y al ingresar mi contraseña de Administrador no hacía nada. Acabo de reiniciar y todo volvió a ser normal, y pensé que era otro hipo de victoria.
He visto mi cantidad de virus, troyanos y raíces y esto está elevando mi barra de alarma.

EDITAR 05 de enero de 2013:
análisis de malware de Jotti

Más información sobre los archivos:
Aview.exe
Description: WinClient
Size: 9.00 KB (9,216 bytes)
Size on disk: 12.0 KB (12.288 bytes)
Created: Thursday 05, July 07, 2012, 20:44:01
Modified: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:44:30
Accessed: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:44:01

Data1.dat
Size: 205 KB (209,975 bytes)
Size on disk: 208 KB (212,992 bytes)
Created: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:44:02
Modified:‎ Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:44:02
Accessed: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:44:02

DEFAULT.INI
Size: 106 bytes (106 bytes)
Size on disk: 4.00 KB (4,096 bytes)
Created: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:44:02
Modified: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:53:25
Accessed: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:44:02

contiene:
[Comm]
SoftkeyboardTrans=255
ToolBoxL=417
ToolBoxT=97
ToolBoxHideMode=2
ToolBoxDX=616
ToolBoxDY=72

Archivos relacionados:
WinClient1.ocx
Size: 409 KB (419,168 bytes)
Size on disk: 412 KB (421,888 bytes)
Created: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:43:57
Modified: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:43:57
Accessed: ‎Thursday ‎05, ‎July ‎07, ‎2012, ‏‎20:43:57

contiene trazas de:

 http://ocsp.verisign.com http://crl.verisign.com/tss-ca.crl Western Cape10UDurbanville10UThawte10UThawte Certification10UThawte Timestamping UUS10UVeriSign, Inc.1+0)U"VeriSign Time Stamping Services CA0‚http://ocsp.verisign.com http://crl.verisign.com/ThawteTimestampingCA.crl VeriSign, Inc.1705U.Class 3 Public Primary Certification Authority0040716000000Z140715235959Z0´10UUS10UVeriSign, Inc.10UVeriSign Trust Network1;09U2Terms of use at https://www.verisign.com/rpa (c)041.0,U%VeriSign Class 3 Code Signing 2004 VeriSign, Inc.1705U.Class 3 Public Primary Certification Authority VeriSign, Inc.10UVeriSign Trust Network1;09U2Terms of use at https://www.verisign.com/rpa (c)041.0,U%VeriSign Class 3 Code Signing 2004 Taiwan10Uhijr/Taipei1#0!U ATEN INTERNATIONAL CO.,LTD1 Digital ID Class 3 - Microsoft Software Validation v210UR&D1#0!UATEN INTERNATIONAL CO.http://CSC3-2004-crl.verisign.com/CSC3-2004.crl https://www.verisign.com/rpa0U%0+0u+i0g0$+0†http://ocsp.verisign.com0 http://CSC3-2004-aia.verisign.com/CSC3-2004-aia.cerhttps://www.verisign.com/rpa (c)041.0,U%VeriSign Class 3 Code Signing 2004  

También hice un seguimiento usando Procmon de lo que hace aview.exe cuando se ejecuta. He adjuntado el registro (aview-log.PML) a todo el archivo. Debe descargar Procmon para abrir el registro.

Los archivos se encuentran en enlace (renombrar .ex a .exe)

    
pregunta w00t 25.12.2012 - 16:17
fuente

3 respuestas

1

Después de ver Aview.exe y WinClient1.ocx, no creo que esto sea malware.

Hay un claro aviso de copyright para ATEN Corporation en el cuadro acerca de. Y muchos de los gráficos en WinClient1.ocx coinciden con los de documento . Parece ser un programa de control para un KVM basado en la red, aunque probablemente uno más antiguo, ya que el copyright es de 2007. El WinClient.ocx también está firmado por ATEN Corporation con una certificación de VeriSign.

si cambia el nombre de winclient1.cox a winclient.ocx y lo coloca en el mismo directorio que aview.exe, puede ejecutarlo como aview.exe -t6000 y se mostrará la siguiente pantalla. Esto me parece un programa de control legítimo. El paquete UPX probablemente se usa para que sea más pequeño para servir desde el dispositivo real y el dispositivo en sí probablemente no tenga mucha memoria para empezar.

    
respondido por el jcopenha 05.01.2013 - 19:37
fuente
2

De los escaneos VT y Jotti que proporcionó, se marcaron como UPX ejecutables empaquetados. UPX es tan común que la mayoría de los AV contienen rutinas de desempaquetador, que les permiten escanear el archivo ejecutable como si no estuviera empaquetado. El resultado positivo que vio fue un AV que considera que los ejecutables empaquetados son altamente sospechosos, lo cual es una postura discutible, algunos usan UPX para proteger la propiedad intelectual, otros lo utilizan para ocultar malware. Teniendo en cuenta que fue detectado como UPX por PEiD y varias otras herramientas en VT, me imagino que los AVs lo habrían marcado como malware si fuera malicioso.

Sin embargo, eso no quiere decir que definitivamente sea algo que quieras ejecutar en tu máquina. Podría ser una barra de herramientas del navegador u otra basura que preferiría evitar, y un AV no lo marcaría como algo que valga la pena bloquear. Mi sugerencia sería instalarlo en una máquina virtual y ver qué sucede.

    
respondido por el Polynomial 25.12.2012 - 19:45
fuente
0

Intente ejecutar el archivo a través de VirusTotal y el malware de Jotti escanea y ve si pueden detectarlo como algo sospechoso. Definitivamente suena un poco sombrío, y Prevx señala lo siguiente en su sitio:

  

Se ha visto que AVIEW.EXE realiza el siguiente comportamiento:   El proceso se empaqueta y / o cifra mediante un proceso de empaquetado de software

Por favor, publique los resultados de VT y Jotti en comentarios, tengo curiosidad por si detectan algo dentro.

    
respondido por el code_burgar 25.12.2012 - 17:47
fuente

Lea otras preguntas en las etiquetas