¿Qué te hace creer que no se está ejecutando correctamente? Muchas variantes de malware tienen comprobaciones y balances que deshabilitan la ejecución completa si no se cumplen ciertos parámetros programados, por ejemplo:
- Comprueba si estoy virtualizado si no se ejecuta,
- Comprueba si tengo verdadera conectividad a Internet si no funciona, no.
- Comprueba si puedo explotar algo en esta máquina para que funcione correctamente.
privilegios
En el primero, puede eliminar cualquier rastro de VMware, Virtualbox, etc. En el segundo, esto puede ser complicado. Si navega a Virustotal y verifica muestras, verá que muchas de ellas parecen ser conexiones absurdas a sitios legítimos (por ejemplo, ping 8.8.8.8 o 8.8.4.4). Puede funcionar así:
InfectedHost --> do something --> legitimate site
InfectedHost --> check value of what I just did
InfectedHost --> does value match pre-programming? If not die
Al usar DNS, también debes tener cuidado. Hace tres años, estaba analizando una variante de SDBot. La variante pondría "windowsupdate.com" en el archivo host apuntado a una dirección falsa. Podría hacer una conexión de baliza:
InfectedHost --> windowsupdate.com
InfectedHost --> give me this update (would never work but return a 404)
El 404 es lo que activaría la funcionalidad C & C. Mi sugerencia es analizar toda la actividad y darle lo que quiere. En el peor de los casos, crea una instantánea / fantasma de tu imagen. Deje que se ejecute en una verdadera red aislada durante un minuto más o menos. Congele, analice el tráfico, y vaya desde allí. Tenga en cuenta que todo está en la programación, por lo que es posible que también deba desmontarlo en IDA. Las instancias de SDBot que analicé nunca iniciarían conexiones inmediatas, esperarían hasta horas diferentes, horas dispersas, horas después de una infección.