¿Existe alguna posibilidad de que la PC se infecte cuando analiza el archivo de malware PCAP?

Navega tus respuestas
3

En la actualidad, hay muchos archivos de pcap de análisis de malware que llevan otros investigadores disponibles en Internet. Dichos archivos muestran el patrón de tráfico y la comunicación del malware con sus servidores C & C o cualquier ubicación maliciosa registrada en el archivo pcap.

La pregunta es, qué sucede realmente cuando abro un archivo pcap de malware en Wireshark. ¿Afecta mi PC? ¿Nuestros PC se infectan cuando ejecutamos el archivo de tráfico de Malware de pcap de otra persona?

Los sitios web de WireShark tienen una sección para la muestra de pcap de malware, así que si descargo y abro cualquiera de esos archivos de pcap en el Wireshark de mi PC, ¿habría alguna posibilidad de que mi PC se infecte?

    
pregunta Gerorge Timber 27.04.2016 - 19:46
fuente

2 respuestas

3

Wireshark es una bestia compleja y, a menudo, se pueden encontrar errores en los diversos disectores específicos del protocolo, lo que también podría conducir a la ejecución remota de código, consulte Disección Wireshark: Sé lo que capturó el verano pasado .

Pero si bien esto puede causar la ejecución de código cuando se usa un pcap de una fuente no confiable o con datos de protocolo mal formados, un pcap bien formado con protocolos sanos que solo captura la transferencia de binarios de malware no se ve afectado por esto y no conducirá a La ejecución del malware que fue capturado en el pcap. Pero, por supuesto, aún puede extraer los datos de pcap y, por lo tanto, cargar inadvertidamente el malware en su computadora y tal vez ejecutarlo también.

    
respondido por el Steffen Ullrich 27.04.2016 - 19:58
fuente
0

El contenido de malware de los archivos en sí no se ejecuta, si eso es lo que está preguntando, por lo que no se verá afectado por el análisis del tráfico de malware.

Aunque, como señala @steffenullrich, es posible crear un archivo de pcap malicioso que esté diseñado para explotar vulnerabilidades en Wireshark o sus complementos.

    
respondido por el schroeder 27.04.2016 - 20:11
fuente

Lea otras preguntas en las etiquetas

¿Es posible probar que la clave del servidor TLS ha cambiado? ¿Hay ejemplos de daños enormes causados por fugas de contraseñas o políticas incorrectas de administración de contraseñas? [cerrado]