Hace unos días platique de forma básica en un webcast de HANGOUTS de Google sobre como se analizaría un virus de forma manual usando software normalmente por los crackers para romper las protecciones usando debugger´s, desensambladores y muchas utilerías mas.
Pero en esta ocasión pondré una lista de diferentes links y software que nos ayudará a hacernos la vida mas fácil en todo lo relacionado al análisis de virus de forma automatizada y empezaremos con las utilerias que están aplicadas a maquinas virtuales que debemos descargar para poder ejecutarlas.
nota: cabe mencionar que muchos de los virus son variante de otros que al ser analizados con las utilerías automatizadas no tendremos dificultad en obtener buenos resultados.
bueno pues comencemos con el listado y explicación de cada una de ellas, ya un video iremos viendo como se instalan y usan.
---------------------------------------
Utilerías de escaneo en Internet
---------------------------------------
Es una subsidiaria de Google, es un servicio online gratuito que analiza los archivos y URLs que permitan la identificación de los virus, gusanos, troyanos y otros tipos de contenido malicioso detectado por los antivirus y los escáneres de sitios web. Al mismo tiempo, puede ser utilizado como un medio para detectar los falsos positivos, es decir, los recursos inocuos detectados como malicioso por uno o más escáners.
Este es un analizador de archivos PE que funciona muy parecido a todos los mencionados anteriormente.
Es un servicio GRATUITO de escaneo en línea que checa los archivos usando los motores antivirus indicados en la lista. Luego de subir el archivo a checar se puede ver los resultados y lo peligroso o inofensivo que es este archivo.
Escanea ficheros a través de una variedad de motores
Link: Comodo
igualmente que los otros analiza el archivo seleccionado y obtiene su MD5 - SHa1 y muchos datos mas sobre el archivo sospechoso.
y para no hacerla tan larga la lista poniendo toda las imagenes aqui les dejo una lista:
---------------------------------------------------
Utilerías de escaneo basadas en SANDBOX
---------------------------------------------------
link:
Sirve para analizar cualquier archivo sospechoso y en cuestión de segundos proporcionará una copia de algunos resultados detallados que describen lo que existe el fichero hizo cuando se ejecuta dentro de un entorno aislado .
Zero Wine es de código abierto ( GPL v2 ) un proyecto de investigación para analizar dinámicamente el comportamiento de malware. sólo se ejecuta el malware usando WINE en una caja de arena virtual segura ( en un entorno aislado ) y recoge información sobre las API llamadas por el programa.
La salida generada por Zero WINE usa un entorno de depuración WINEDEBUG donde las API utilizadas y los valores de ellas que son usadas por el MALWARE podremos analizar el comportamiento general y específico del VIRUS.
---------------------------------------
Utilerías de escaneo en Internet
---------------------------------------
Virul Total
Link: Virus TotalEs una subsidiaria de Google, es un servicio online gratuito que analiza los archivos y URLs que permitan la identificación de los virus, gusanos, troyanos y otros tipos de contenido malicioso detectado por los antivirus y los escáneres de sitios web. Al mismo tiempo, puede ser utilizado como un medio para detectar los falsos positivos, es decir, los recursos inocuos detectados como malicioso por uno o más escáners.
Xandora
Link: XandoraEste es un analizador de archivos PE que funciona muy parecido a todos los mencionados anteriormente.
Xandora
Link: VirscanEs un servicio GRATUITO de escaneo en línea que checa los archivos usando los motores antivirus indicados en la lista. Luego de subir el archivo a checar se puede ver los resultados y lo peligroso o inofensivo que es este archivo.
VirusChief.org
Link: VirscanEscanea ficheros a través de una variedad de motores
Comodo Instant Malware Analysis
Link: Comodo
igualmente que los otros analiza el archivo seleccionado y obtiene su MD5 - SHa1 y muchos datos mas sobre el archivo sospechoso.
y para no hacerla tan larga la lista poniendo toda las imagenes aqui les dejo una lista:
- GFI Public Sandbox
- CWSandbox
- Jotti's malware scan
- Metascan Online
- ASafaWeb
- Virus Lab
- Anubis
- Metascan Online
- Eureka Malware Analysis Page
- Wepawet
- F-Secure
- avast! Online Scanner
- malwr.com
- Autovin
- Ether
- SuspectFile
---------------------------------------------------
Utilerías de escaneo basadas en SANDBOX
---------------------------------------------------
Sirve para analizar cualquier archivo sospechoso y en cuestión de segundos proporcionará una copia de algunos resultados detallados que describen lo que existe el fichero hizo cuando se ejecuta dentro de un entorno aislado .
Zero Wine es de código abierto ( GPL v2 ) un proyecto de investigación para analizar dinámicamente el comportamiento de malware. sólo se ejecuta el malware usando WINE en una caja de arena virtual segura ( en un entorno aislado ) y recoge información sobre las API llamadas por el programa.
La salida generada por Zero WINE usa un entorno de depuración WINEDEBUG donde las API utilizadas y los valores de ellas que son usadas por el MALWARE podremos analizar el comportamiento general y específico del VIRUS.
Buster Sandbox Analyzer es una herramienta que ha sido diseñada para analizar el comportamiento de los procesos y los cambios realizados en el sistema y luego evaluar si son de malware sospechoso.
Los cambios realizados en el sistema pueden ser de varios tipos: cambios en el sistema de archivos, cambios en el registro y los cambios de puerto.
Un cambio de sistema de archivos que sucede cuando se crea un archivo , borrado o modificado. Dependiendo de qué tipo de archivo se ha creado ( ejecutable, biblioteca, javascript , lote, etc. ) y donde se creó (qué carpeta) seremos capaces de obtener información valiosa.
Malheur es una herramienta para el análisis automático de comportamiento de malware. Ha sido diseñado para apoyar el análisis periódico de software malicioso y el desarrollo de las medidas de detección y defensa.
Malheur permite identificar nuevas clases de malware con un comportamiento similar y la asignación de malware desconocido a clases descubiertas .
REMnux® es una herramienta gratuita de Linux para ayudar a los analistas de malware a identificar y analizar un software malicioso con técnicas de ingeniería inversa. Este utilería hace más fácil el trabajo a los investigadores forenses y personal de respuesta de incidentes para empezar a utilizar la variedad de herramientas de libre disponibilidad que examinan malware que aun mediante varias sandbox podrían ser difíciles de localizar o configurar.
El punto fuerte de esta distribución REMnux Linux es que esta basada en Ubuntu. Por lo tanto esta distro es ligera e incorpora muchas herramientas para el análisis de Windows y Linux malware, las amenazas basadas en el navegador como ofuscado Javascript , explorar archivos de documentos sospechosos y desmontar otros archivo maliciosos.
Los investigadores también pueden utilizarla para interceptar el tráfico de red sospechosa en un laboratorio aislado al realizar análisis de malware.
link
Sandboxie ejecuta sus programas en un espacio aislado que les impide hacer cambios permanentes a otros programas y datos en su computadora.
link
Esta utilería es de lo más básico en nuestro arsenal de verificación de virus y malware ya que centra su atención en todo lo referente a ataques perpetrados con PDF´s y OFFice Files
-------------------------------------------
Y estas serian muchas de las opciones que tenemos para tener encuenta a la hora de descagar nuestro arsenal de trabajo para el análisis de VIRUS, MALWARE y archivos sospechosos.
-------------------------------------------
Espero les sirva este pequeño artículo y en breve hablaremos de como se podría proteger un virus o un código maligno con técnicas de INgeniería Inversa para que no sea detectado por los antivirus.
un saludo y se te gusto comparte este artículo.
L.I. Rodolfo H. Baz
Centro de Investigaciones en Seguridad Informática - CEO - www.ccat.edu.mx
X. CyberSecurity Conferences - Fundador - www.x25.org.mx
Certified White Hat Profesional - CEO - www.ccat.edu.mx
No hay comentarios:
Publicar un comentario