Estaba ejecutando Yara, el cuchillo suizo que combina patrones para los investigadores de malware en Windows 10.
Ejecuté un escaneo usando reglas de Yara Rules de YARA Rules Github y MalwareConfig.
Me topé con estos archivos DLL que tenían firmas que coincidían con los privilegios de escalado, y los keyloggers.
- avicap32.dll
- mscorlib.dll
- AcGenerl.dll
- accessibilitycpl.dll
- adalsql.dll
- AtBroker.exe
- etc
Para mí tiene sentido AcGenerl.dll tiene firmas de keylogger porque maneja el teclado pero MsCorlib.dll? no tiene sentido por qué tiene estas firmas.
¿Alguna explicación de por qué algunas de estas DLL de Windows activan banderas? (No se ha comprobado por qué se recogieron mis reglas, sino específicamente los programas y las bibliotecas)
[Editar] Virus Total también dice que estos archivos no están infectados por un malware o un rootkit.