Guía para desinfección y detección de malware

Boiisxu

¿Hay alguna forma de destripar un .exe?

Realmente podría ser un .bat porque es simplemente un script que cambia una config de windows y te abre un programa, pero me gustaría ver si esconde algo más...

1 respuesta
AikonCWD

#451 subelo a mega o similares y lo reviso

1 1 respuesta
Boiisxu

#452 Aquí lo tienes. Muchas gracias por tu tiempo.

1 respuesta
AikonCWD

#453 lo reviso ahora mismo. Pero ponme un poco en contexto.

De dónde sale este exe? Para qué se supone que sirve o qué se supone que debería hacer?

1 respuesta
Boiisxu

#454 Es un ejecutable que te abre el launcher de epic en modo offline, para lo que tiene que desactivar momentáneamente el internet. No tendría que hacer absolutamente nada más.

1 respuesta
AikonCWD

#455 Descarto cualquier tipo de malware, lo que me sorprende un poco es el alto peso del fichero y la cantidad de libbrerías de carga para hacer una cosa tan sencilla. Seguramente no sea nada raro.

De dónde has sacado ese exe? Viendo la web oficial de Epic, puedes arrancar el cliente en modo offline simplemente saltando el login, quizás te renta mejor hacer ese paso oficial.

virustotal: https://www.virustotal.com/gui/file/31fcc25bae22d4ad7f9c0a1af19eef14d07d0361297be6e3411a62808461bc6e/detection (4 falsos positivos)

sandbox: https://www.hybrid-analysis.com/sample/31fcc25bae22d4ad7f9c0a1af19eef14d07d0361297be6e3411a62808461bc6e/5ec3d91d39bcd3545b1074e9 (nada relevante)

1 1 respuesta
Boiisxu

#456 Muchas gracias Aikon.

Estoy viendo el sandbox y dice que lleva algo para evitar que se ejecute en virtual machine, ¿cómo sabes que se tratan de 4 falsos postiivos?

Viene de una página rusa pero de renombre, de todas maneras los rusos han colado más de una vez malware, así que mejor asegurarse.

El programa viene en un .zip que también contiene otro pequeño .exe (un script) pero que puede (o no) que contenga algo, si tienes tiempo y te apetece te paso el enlace, pero esto por privado.

Volviendo al principio, molaría bastante aprender a hacer esto por mi cuenta, así que si me explicases grosso modo cómo lo has hecho te lo agradecería mucho.

1 respuesta
AikonCWD

#457 Bueno, aquí entraríamos en un campo bastante denso y complejo de explicar. Podemos reducirlo en 2 bloques grandes

  • Análisis estático
  • Análisis dinámico

El análisis estático de un ejecutable se basa en coger dicho ejecutable, desensamblarlo para ver que hay dentro e intentar reconstruir qué y cómo se ejecuta dicho programa. Para ello se utilizan 3 técnicas muy diferenciadas:

  • Desensamblar
  • Listado de librerías
  • Dumpeo de strings

Realmente los 2 últimos puntos dependen del primero, ya que al desensamblar un ejecutable, obtienes sus librerías y sus strings, pero cuando hablamos de desensamblar nos referimos a revisar principalmente el código máquina (ensamblador) de dicho ejecutable para entender qué hace el programa por dentro. No es una tarea fácil y cada ejecutable es un mundo (más bien su arquitectura). Pongo un ejemplo de un análisis estático:


https://cybersecurity.att.com/blogs/labs-research/trickbot-bazarloader-in-depth

Este proceso, si se hace correctamente, nos da muchísima información sobre qué es lo que hace un ejecutable sin tan siquiera ejecutarlo. Requiere de muchas horas para reversar cada función y entender qué hace el programa. Una auténtica locura.

Luego podemos revisar también las librerías que carga el ejecutable y cualquier string (cadena de texto) utilizada en el mismo. Eso nos puede dar muchas pistas si por ejemplo encontramos un ejecutable que debería ser un videojuego y que en cambio carga multitud de librerías criptográficas. También si en la tabla de strings observamos cadenas de texto un poco sospechosas como "bitcoin", por poner un ejemplo.

Aunque el análisis estático parece poderoso y arroja mucha información, cuando tratamos con malware real, es muy posible que se haya compilado de tal forma que oculte su forma en el análisis estático. Por ejemplo podría tener las strings encriptadas o subidas en un fichero TXT de internet (fichero que será descargado por el malware y procesado), con ese sencillo truco, ante un análisis estático jamás veríamos sus strings sospechosas.

Con la carga de librerías ocurre lo mismo, en lugar de llamar a la API DeleteFile(), el malware puede llamar a la API LoadLibrary() y de ahñi cargar en tiempo de ejecución la librería DeleteFile() y hacer el borrado de ficheros. Con esa sencilla técnica el malware podría pasar inadvertido ante un análisis estático.

Cuando eso ocurre, es mejor dejar de lado el análisis estático y pasar a un análisis dinámico: Esto significa ejecutar el ejecutable y ver qué hacer y qué cambios provoca en el sistema. Para ello se puede hacer manualmente sobre una VM, y analizar luego los cambios producidos. Existen VMs automatizadas para estas tareas llamadas sandbox, mis favoritas son:

https://app.any.run/tasks/4c2d2f6a-3e40-422c-9998-9903bcffd2ac/
https://www.hybrid-analysis.com/sample/57fd588e2f018584857c90e2a541155bf03206a02089719f215ff4872df0c647?environmentId=100

app.any.run es muy similar a una VM convencional, hasta puedes ver diferentes pantallazos del proceso de la ejecución del virus, en el ejemplo que pongo es de un ransomware grandcrab, y se puede ver como infecta los ficheros y muestra la nota de rescate. El de HybridAnalysis es muy completo, menos gráfico pero da mucha información.

Lo bueno del análisis dinámico en sandbox es que captura automáticamente cualquier comunicación por internet y te muestra los datos. Para llevar a cabo manualmente un análisis de este tipo hay que utilizar herramientas como InternetSim o FakeNet, para simular una red, y WireShark para capturar los datos de red, con un sandbox nos ahorramos esa tarea, aunque no está de más saber hacerlo manualmente para entender como funciona ese proceso.


En resumen, si no quieres complicarte. Cuando tengas un proceso raro, envíalo a:

www.virustotal.com
https://app.any.run
https://www.hybrid-analysis.com

Y con esos 3 reportes tendrás una idea de lo que puede hacer el bicho. Te dejo un ejemplo de un analisys muy completo y muy bien hecho, para que veas lo que se puede llegar a sacar: https://medium.com/@nishanmaharjan17/malware-analysis-snake-ransomware-a0e66f487017

29 1 respuesta
Boiisxu

#458 Menudo currazo, muchas gracias Aikon. Probaré con las tres herramientas que me has dado, la verdad que no pensaba que fuese tan complicado al no estar encriptado como tal.

1 respuesta
AikonCWD

#459 El análisis estático es complicado en cuanto a que tienes que dedicarle un porrón de horas, muchísimo tiempo si quieres reversar todo.
Yo lo que hago es mirar las librerías utilizadas, y si veo alguna sospechosa busco las xref (las llamadas a esa librería) y reviso solo el código de dicha función, para hacerme una idea.

Pongo un ejemplo real, con la librería TerminateProcess(), que no hace falta que explique qué hace dicha librería. Si veo que un ejecutable la usa, voy a buscar en qué parte de su código llama a dicha librería:

Aquí en el ejemplo de la imágen no estoy viendo código ensamblador, ya que el desensamblador ha podido reversar y traducir el código ASM en pseudocódigo/C, siendo su lectura mucho más sencilla. Normalmente esta lectura de código estático te la tienes que tragar en ASM y es menos intuitivo todo.

Se aprecia claramente como arriba tiene un listado de strings con diferentes procesos, hace un bucle para recorrer los 39 procesos y si los encuentra (tras hacer el OpenProcess), los finaliza metiendo un TerminateProcess(). Estaríamos delante de alguna función de evasión, seguramente para matar procesos de antivirus o similares.

Así que lo más sencillo es tirar de análisis dinámico usando sandbox ya preconfiguradas, como esas que he puesto.

9
xlive

Hay algún hilo similar a este o donde puedo mirar un listado de programas útiles, de reparación, diagnóstico, optimización, etc.

Me estoy preparando un pendrive y quería tener una lista con utilidades, desde pdf, chrome, etc, hasta lo listado en #1.

1 respuesta
Kimura

#461 igual de aquí sacas ideas

https://www.mediavida.com/foro/hard-soft/programas-imprescindibles-651465

1 respuesta
xlive

#462 Gracias, le echo un ojo.

Si alguno tiene algo más específico que me mande mp. :slight_smile:

1 respuesta
X

#463 Yo en lo personal recomiendo estos progrmas para conseguir una desinfeccion 100% segura de cualquier gusano, virus, rootkit o malware en general, aqui esta mi lista, ustedes pueden mostrar tambien la lista de programas que tienen, si es que quieren:

Antivirus para mi los mejores antivirus son

  • Avast Antivirus
  • Avira antivirus
  • ESET NOD32 Antivirus

Anti-spyware

  • Malwarebytes
  • Trojan Remover
  • 360 Total Security Essential (Aunque es un antivirus, no lo creo tan similar a un antivirus, mas parece anti-malware)
  • Hitman Pro
  • MalwareFox
  • Emsisoft Anti-Malware
  • SuperAntispyware
  • Spyware blaster
  • Metadefender Endpoint

Utilidades Antimalware Esta utilidades nunca deben faltar, ya que facilitan la buqueda de malware, ya que como sabemos ni siquiera los antivirus o antimalware son 100% certeros o infalibles

  • Adwcleaner
  • Avira PC Cleaner
  • Dll Hijack Auditor
  • Gmer- un buen anti-rootkit
  • HijackThis
  • Kaspersky virus removal tool
  • Rootkit Buster
  • Rootkit remover
  • Rogue killer - un buen anti-rootkit
  • Spy BHO Remover
  • Spy DLL Remover
  • Tdsskiller - un buen anti-rootkit
  • Unhackme

Utilidades Extras estas son utilidades que si bien no son anti-malware en si, de todas maneras pueden ayudar a la localizacion de los mismos.

  • Process Explorer
  • Process Monitor
  • Svchost Analyzer

Como defenza adicional para los malware y derivados, yo aconsejo utilizar un buen firewall, utilizar el archivo hosts colocando las paginas con spam y que se conozcan que son peligrosas o contiene algun malware, tambien ayuda en mucho los complementos como ublock origin ,etc.
Por ultimo y para tener un sistema ta fuerte como el mejor linux, pueden utilizar un buen restaurador del sistema, para que tengan copias del disco duro y en caso de problemas volverlo a su estado anterior, para esto pueden utilizar shadow defense, deep freeze o algun otro software que copie las particiones, saludos.

1 1 respuesta
Deivis

#464 Falta por añadir un casco, un escudo y un chaleco personal xDD Joder entiendo que para pcs de cyberscafe haga falta mucha protección, pero para un PC personal en mi opinión con el Windows defender, un par de programas para verificar spyware/malware, alguno para limpiar (RedSeeker) y tener un poco de cuidado por donde navegar y qué descargar es más que suficiente.

2 1 respuesta
X

#465 En cuestion de virus y malware nunca hay que confiarse, ademas yo no recomiendo utilizar todos, si no los que mas le gusten, ya que la lista esta basada en mi experiencia, a traves de 15 años y creeme que he tenido de todo, desde virus, a gusanos y troyanos y se lo jodidos que son, incluso utilizando a deep freeze, aunque dire que con la experiencia que tengo se debe mas a que en el comienzo era muy novato, por halla en el 2005, pero como ahora ya no soy tan novato, solo ocupos unos pocos programas y listo, pero como comente nunca esta demas la precaucion extrema, ya que es mucho mejor a que se pierdan los datos de un disco duro, sobre todo si son importantes, otra cosa mas es que me gusta probar de todo, programas, juegos, siempre me gusta ver si existe algo bueno y nuevo, saludos.

1 respuesta
Yeka

#466 ¿Avast no vendía datos a terceros?

1 respuesta
X

#467 No tengo idea, creo que la ultima vez que lo utilice fue en 2011 o menos, no recuerdo, sin embargo, yo utilizo los antivirus 1 vez, los actualizo y luego les cierro la salida hacia la web con un firewall, basicamente los utilizo para revisar de vez en cuando, tambien utilizo mucho virus total, saludos.

Usuarios habituales

  • xlive
  • AikonCWD
  • acerty
  • HoRuS
  • koalas
  • HeXaN
  • hda