Malicious code protector, suspicious shellcode detected

Hay veces que el smartdefense se pone demasiado quisquilloso… hace unos días empezó a cantar este error “malicious code protector suspicious shellcode detected” cuando movían unos ficheros por FTP.

Después del típico “yo no he tocado nada”… conseguí que me pasaran un fichero de ejemplo a ver que es lo que llevaba por dentro (son ficheros de texto plano).
Y esto es lo que había dentro… la verdad es que si que parece un shellcode… 🙂
CABSRGU VGOAIMAD 20300901 EUR ESA66062287 IMI I- S46222-2090/04038
01
ITCXP A56066687
ITXXC A26462627
ITCCE A26262667
TXCX012001
18020KG
TXCX02X001
20
TXCX04X001
18040,060KG
TXCX055001
Per£
TXCX057001
16424
TXCX058001
48000X0851
TXCX063021

TXCX037001
N/R
TXCX074201 11-08-10
TXCX084001
ESA26062687
POS00001 0440SAIMAD20500831 20 1332,02 KG 1+
POS00002 0160AIMAD20100431 20 71,15 KG 1+
POS00003 0282AIBCN20110831 20 30,50 KG 1+
POS00004 0270AIMAD20100821 20 10,00 KG 1+
POS00005 0126AIMAD20110831 20 7,99 KG 1+

Raro es, pero Shellcode ??
Estos tienen esta pinta …
“char shell[]=

“\xeb\x10\x5e\x31\xc0”

“\x88\x46\x07\xb0\x0b”

“\x89\xf3\x31\xc9\x31”

“\xd2\xcd\x80\xe8\xeb”

“\xff\xff\xff\x2f\x62”

“\x69\x6e\x2f\x73\x68”

“\x23”;” Xd, creo que esta vez se han pasado un poco…
Para desactivar la comprobación:
ftp shell

Comments are closed.