En este último post de la serie “Destripa tu malware en Windows”, veremos cómo podemos hacer uso de aplicaciones disponibles en la red para analizar de una forma muy sencilla el malware encontrado.
Una de las varias formas que se tiene para encontrar el puerto al que se lanza la conexión una vez ejecutado el malware es usar Wireshark o directamente mediante la herramienta Process Explorer haciendo clic derecho con el ratón sobre el proceso y pinchando en propiedades, dentro de la pestaña TCP/IP:
Una vez que ya tenemos todos estos datos, podemos realizar un escáner de firmas en Virus Total para ver el ratio de detección del malware.
Como vemos en este caso, debido a que el malware no se encuentra cifrado, el ratio de detección es del 66%. Sin embargo este no es un dato del que nos debamos fiar ya que existen multitud de “crypters”, muchos de ellos gratuitos, con los que un usuario podría “indetectar” totalmente el ejecutable.
Otra opción para analizar malware de una forma sencilla y rápida es utilizar la sandbox Anubis de Iseclab. Esta aplicación ejecuta el malware en una máquina virtual obteniendo un informe de las funciones que realiza, los archivos que se crean, las conexiones establecidas, etcétera.
También nos permite obtener un archivo con extensión “pcap” que podemos abrir con la herramienta Wireshark para ver las conexiones establecidas y los datos de las mismas una vez que se ha ejecutado el malware.
Así mismo podemos ver estas conexiones en una de las partes del informe:
Otra herramienta que nos puede ayudar a la hora de reconocer y entender el funcionamiento de un malware es Regshot. Dicha herramienta lo que hace son “fotos” del sistema. Realiza una foto antes de ejecutar el malware y otro después. Compara dichas fotos y nos muestra cuales son los procesos, directorios, archivos, entradas de registro… creados, modificados y eliminados tras la ejecución de la aplicación sospechosa.
Una vez que tenemos el informe de cambios podremos con un simple “click” borrar todas las nuevas entradas que se han creado en el sistema operativo.
Cabe destacar que en caso de que el malware tuviese una función de “sleep” o retardo, todas estas aplicaciones serían inútiles o debería realizarse el análisis con un largo espacio de tiempo. Otra forma que tiene el malware de evitar ser detectado es ejecutase solamente cuando se produzcan ciertos acontecimientos en el sistema como son los clics o errores del sistema.
Una vez que ya tenemos toda esta información solamente faltaría descubrir cuál es el mutex del archivo, pero esto lo dejamos de la mano de nuestro compañero Juan Garrido en su blog WindowsTips ya que actualmente se encuentra escribiendo una serie posts sobre este tema. Deseo que la serie de artículos haya sido de su interés.
Si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y. por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.
**************************************************************
- Analizar malware en Windows (I de III)
- Analizar malware en Windows (II de III)
- Analizar malware en Windows (III de III)
**************************************************************
Enviado
dic 29 2011, 10:41
por
Alberto García