Bichología – Callejón sin salida?

Hola de nuevo. Por fin encuentro un hueco para continuar con la serie de posts sobre análisis de malware.

Y lo hago para dar malas (?) noticias. La muestra que estuvimos mirando anteriormente, no parece que haga nada.

Ejecutándola en una máquina virtual de VMware Workstation 7.0.1, corriendo Windows XP SP3, y monitorizando su actividad con Process Explorer, Process Monitor y Wireshark, la muestra no parece hacer nada de nada.



Ni lanzamiento de otros procesos, ni accesos extraños a ficheros, ni creación de claves de registro…

… ni conexiones sospechosas de red a ningún sitio…

El proceso sale inmediatamente y termina, y no hace nada que no haga cualquier otro programa en su secuencia de arranque. Se pueden formular varias hipótesis:

• No es malware.
  
  
  • En contra: el fichero en sí es sospechoso. Las cadenas de texto son muy sospechosas (y me recuerdan a los textos pseudo-aleatorios del SPAM en comentarios de blogs).
  • A favor: los fabricantes de antivirus no parecen ponerse de acuerdo, y no todos lo detectan aun pasado mucho tiempo desde su primera detección (informe Virustotal).
• Es malware pero está dañado o incompleto.
  
  
  • A favor: no parece hacer nada por si mismo.
• Es malware pero de alguna forma detecta que corre en “entorno hostil” y no hace nada.
  
  
  • En contra: cualquier intento de detección (que está en una máquina virtual, que hay herramientas de monitorización, etc.) dejaría al menos alguna traza.
  • A favor: existen técnicas para detección de entornos virtuales que no implican acceso de ficheros y/o registro, como la desarrollada por Joanna Rutkowska, o la que se puede encontrar en Trapkit.de.

Habrá que investigar un poco más, haciendo análisis del código (desensamblado y debuggeado).

Fuente: Blog de Alfredo Reino

Suscríbete a nuestro Boletín