La Página de Senpai
Blog personal con traducciones de programas y ayuda desinteresada

Falsos positivos en JkDefragGUI

Lo primero y más importante es diferenciar JkDefrag de JkDefrag-GUI.
JkDefrag es el programa desfragmentador bajo licencia GPL de Jeroen Kessels, del cual tienes las fuentes de todas sus aplicaciones (JkDefrag.exe, JkDefragCmd.exe, JkDefragScreenSaver.exe, JkDefragScreenSaver.scr) para descargarlas y ver que no tienen nada de malware. De echo ya que te has basado en el análisis de Virustotal.com, los he subido ha esa web con 32 motores antivirus y ha esta otra Virus.org, el escaner esta en http://scanner.virus.org/, con 22 motores más, aunque solo hay 5 diferentes que en total hacen 37 motores antivirus para la comparativa, alli ninguno de sus componentes a dado positivo en ninguno de los 37 antivirus presentes en esas web.
Excepto el salvapantallas “JkDefragScreenSaver.scr“, que uno de los 37 motores a dicho esto: Webwasher-Gateway    6.0.1    2007.11.10    Win32.Malware.gen!80 (suspicious)”.
Los salvapantallas son archivos que se ejecutan en segundo plano y deben tener “comandos” de autoejecución que algún antivirus puede ver como “peligrosos“, La pregunta es… 1 de 37, pues usar las estadísticas…, ya se ha hablado mucho en los foros adecuados sobre los falsos positivos de muchos antivirus.

Dejando claro la diferencia entre JkDefrag (GPL y con sus fuentes disponibles) y JkDefrag-GUI(que pertenece a otro programador, Emiel Wieldraaijer, que tambíen tiene a disposición las fuentes en “AutiIT” de su 1ª versión), vamos ha ver que pasa con los demás programas que vienen con JkDefrag-GUI:

JkDefrag-GUI de Emiel Wieldraaijer, es una “Interfaz Gráfica de Usuario” que SOLO pasa los comandos al desfragmentador de forma fácil, de otra forma habría que hacerlo en linea de comandos o con accesos directos como en JkDefrag (leeros la ayuda en mi web).

Los programas:
jt.exe, “Microsoft ® Task Scheduler Command Line Utility“, es un programa de Microsoft que se utiliza para programar las tareas, en ninguna de las dos web da positivo.
pagedfrg.exe, es un programa de Sysinternals (ahora comprado por Microsfot), que desfragmenta la Memoria virtual “Pagefile.sys”. en ninguna de las dos web da positivo.
7za.exe, es el programa de linea de comandos de 7-Zip, un compresor GPL con fuentes disponibles en su web, que en JkDefrag-GUI se utiliza para descomprimir el ejecutable, crear las carpetas, etc…,(como otros utilizamos otros compresores como winrar o winzip). Este programa “vete tu a saber porque” ;-), también da positivo en Virustotal.com, con: “eSafe    7.0.15.0    2007.11.08    suspicious Trojan/Worm“, y otra vez el: “Webwasher-Gateway    6.0.1    2007.11.10    Win32.ModifiedUPX.gen!90 (suspicious)“. En la web Virus.org, no da ningún positivo, con lo que queda como 2 de 37…
ntregopt.exe, Es un programa hecho por Lars Hederer, que sirve para compactar el registro y que lleva haciendo muy bién su trabajo desde antes del 2005, en cambio y quiza debido a “eso que hace“, en la web Virustotal.com,  otra vez el: eSafe    7.0.15.0    2007.11.08    suspicious Trojan/Worm“, y otra vez en la web Virus.org, ninguno de sus 22 motores da positivo, con lo que queda como 1de 37…
Dicho esto vamos al principal “culpable“de este “tocho” que he escrito ;-):
JkDefragGUI:
El ejecutable/instalador de. JkDefragGUI, en mi caso la última versión beta que estoy probando “jkdefraggui-10beta5.exe“, lo único que hace es pasarle los parámetros de una manera sencilla para un usuario normal, tanto al programa desfragmentador como a los demás programas para que hagan su función.
el creador de esta GUI, me ha reconocido que no es un programador “nato“, pero ha tenido una idea, la ha creado y la comparte gratis con los demás, otros que saben más que él no lo hacen…, quizá debido a ello no ha elegido un lenguaje de programación y un compilador de los mejores, usa el que sabe utilizar, “AutoIT”, yo se poco de eso, pero obviamente no es tan eficiente como C, Delphi, C#, Visual C, etc… y crea ejecutables demasiado grandes, a la vista esta que la GUI “pesa” 1,86 MB, y eso que está “empaquetado” con UPX que es de lo mejor para compactar ejecutables, y sin tener los demás programas dentro, por eso cuando se ejecuta por 1ª vez se descarga los programas que hemos enumerado antes desde sus respectivas páginas web y se descomprimen con el 7-Zip, cosa que se puede comprobar en las peticiones http://, que te muestra el cortafuegos. las razones que dá para esa forma de actuar es, para no agrandar en demasía el tamaño del programa y para aprobechar las continuas actualizaciones de JkDefrag, sin variar su GUI, pues siempre se baja la última versión estable.

Tras comprobar en estas dos web dicho ejecutable el resultado es este, 5 positivos de 37 motores antivirus:
eSafe    7.0.15.0    2007.11.08    suspicious Trojan/Worm“, “Fortinet    3.11.0.0    2007.10.19    W32/Sohanad.DW!worm“, “Ikarus    T3.1.1.12    2007.11.11    Worm.Win32.AutoIt.d“, “VBA32    3.12.2.4    2007.11.08    Worm.Win32.AutoIt.d” y “Webwasher-Gateway    6.0.1    2007.11.11    Worm.Win32.ModifiedUPX.gen!84 (suspicious)“.

Al comentarle esos casos a Emiel Wieldraaijer, me dice que hay tres razones para estos falsos positivos:

– Los malos antivirus (los que reportan sospecha de virus son en su mayor parte desconocidos y versiones gratuitas de antivirus)
– La función de descarga de los programas en JkDefragGUI
– UPX (http://upx.sourceforge.net / ) el comando de descompresión “upx – d jkdefraggui.exe” y la posterior ejecución

Con esta información lo que hay que preguntarse es ¿cuantos y cuales antivirus lo ven como limpio?, y ante eso yo claramente estoy MUY TRANQUILO.

Anuncios

Ninguna respuesta to “Falsos positivos en JkDefragGUI”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: