Mi compañía acaba de conseguir un gusano. El específico está al lado del punto, pero vinculé un par de páginas que creo describen el gusano / virus a continuación. Estamos recibiendo muchos correos electrónicos a Outlook que nos piden abrir documentos.
Por diversión, quiero hacer un análisis estático / dinámico en una máquina virtual en casa. Sé que la regla de seguridad es que "nunca es seguro", pero ¿puedo asumir prácticamente que descargar el archivo zip adjunto será seguro si no lo ejecuto?
La mayoría de los virus de correo electrónico deben ejecutarse a través de cualquiera de estos métodos:
El software de correo electrónico y / o el sistema operativo ejecutan automáticamente el archivo cuando lo ve. Este es el caso de las imágenes que explotan fallas en las bibliotecas de representación de imágenes: el software procesa la imagen automáticamente (aunque solo sea para mostrarla como una miniatura), lo que activa la vulnerabilidad.
El usuario humano crédulo es inducido a ejecutar la cosa.
La mayoría de los virus de correo electrónico siguen la segunda ruta, ya que es mucho más fácil. Los defectos en las bibliotecas de software son reportados y parchados por los proveedores; Las fallas en el cerebro humano nunca se arreglan. Normalmente, el archivo se llamará ".zip.exe" (el usuario solo verá ".zip" y pensará que "este es un archivo Zip, no un archivo ejecutable), o" .scr "(el usuario no sabe que" Los protectores de pantalla "son en realidad archivos ejecutables en el mundo de Windows). Cuando el virus es del segundo tipo, descargando el archivo es seguro, siempre que tenga cuidado de no ejecutarlo. Tenga cuidado con hacer doble clic eso!
Si puede organizar una transferencia sin descargarla en su máquina de trabajo, sería más seguro. Por ejemplo, si puede acceder a sus correos electrónicos a través de un portal web, haga eso desde, por ejemplo, una máquina que ejecuta Linux (podría ser una máquina virtual). Como regla general, el virus de Windows no afecta a Linux y viceversa.
Responderé a la pregunta: ¿Cómo puedo transportar el malware para alojar el análisis sin que se elimine o modifique durante la transmisión (debido a los productos de correo electrónico o A / V)?
Para transportar correctamente el malware conocido, de una manera segura, primero debe descargarlo sin eliminar el sistema operativo del host porque el software A / V lo detectó. Puede "pausar" el host A / V en la mayoría de los casos, o puede descargarlo en un host sin A / V instalado.
El segundo paso es envolverlo de manera segura para el transporte. Para hacer esto, debe colocar malware en un archivo zip, y luego proteger con contraseña el archivo zip . La contraseña común utilizada por la mayoría de los proveedores de A / V está "infectada" sin comillas. La mayoría de los proveedores de A / V en realidad ignorarán los archivos Zip con esta contraseña, ya que asumen que no se deben eliminar, sino que se transportan para un análisis más detallado. (Intel Security y Symantec vienen a la mente).