Bichología – Callejón sin salida?
Hola de nuevo. Por fin encuentro un hueco para continuar con la serie de posts sobre análisis de malware.
Y lo hago para dar malas (?) noticias. La muestra que estuvimos mirando anteriormente, no parece que haga nada.
Ejecutándola en una máquina virtual de VMware Workstation 7.0.1, corriendo Windows XP SP3, y monitorizando su actividad con Process Explorer, Process Monitor y Wireshark, la muestra no parece hacer nada de nada.
Ni lanzamiento de otros procesos, ni accesos extraños a ficheros, ni creación de claves de registro…
… ni conexiones sospechosas de red a ningún sitio…
El proceso sale inmediatamente y termina, y no hace nada que no haga cualquier otro programa en su secuencia de arranque. Se pueden formular varias hipótesis:
Fuente: Blog de Alfredo Reino
Y lo hago para dar malas (?) noticias. La muestra que estuvimos mirando anteriormente, no parece que haga nada.
Ejecutándola en una máquina virtual de VMware Workstation 7.0.1, corriendo Windows XP SP3, y monitorizando su actividad con Process Explorer, Process Monitor y Wireshark, la muestra no parece hacer nada de nada.
Ni lanzamiento de otros procesos, ni accesos extraños a ficheros, ni creación de claves de registro…
… ni conexiones sospechosas de red a ningún sitio…
El proceso sale inmediatamente y termina, y no hace nada que no haga cualquier otro programa en su secuencia de arranque. Se pueden formular varias hipótesis:
- No es malware.
- En contra: el fichero en sí es sospechoso. Las cadenas de texto son muy sospechosas (y me recuerdan a los textos pseudo-aleatorios del SPAM en comentarios de blogs).
- A favor: los fabricantes de antivirus no parecen ponerse de acuerdo, y no todos lo detectan aun pasado mucho tiempo desde su primera detección (informe Virustotal).
- Es malware pero está dañado o incompleto.
- A favor: no parece hacer nada por si mismo.
- Es malware pero de alguna forma detecta que corre en “entorno hostil” y no hace nada.
- En contra: cualquier intento de detección (que está en una máquina virtual, que hay herramientas de monitorización, etc.) dejaría al menos alguna traza.
- A favor: existen técnicas para detección de entornos virtuales que no implican acceso de ficheros y/o registro, como la desarrollada por Joanna Rutkowska, o la que se puede encontrar en Trapkit.de.
Fuente: Blog de Alfredo Reino
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!