Mi software antivirus ha detectado un archivo EXE descargado de Internet infectado con el virus Malwr.Heur.MSILPerseus. Lo ha puesto en cuarentena. Sin embargo, quería descompilar & estudia su codigo ¿Será seguro descompilar el EXE utilizando Telerik JustDecompile para ver su código fuente?
Eso depende de qué tan avanzado esté el malware. Lo más probable es que sea seguro, aunque puede ser muy confuso y difícil de entender en un descompilador. Existe una pequeña posibilidad de que esté diseñado intencionalmente para ejecutarse correctamente en hardware real, pero explote un error para escapar de los entornos aislados u obtener privilegios adicionales en un descompilador. Si simplemente está preguntando si un descompilador necesita ejecutar un programa para descompilarlo, no lo hace. Es, en teoría, completamente seguro.
Sí y no. Usted teóricamente estaría seguro, pero no es lo ideal.
El virus podría tener exploits especialmente diseñados para este descompilador (o incluso ILDASM); aunque las posibilidades son escasas, pueden escapar de la caja de arena (como lo indica anon).
Hay una pequeña posibilidad de que no esté ofuscado, ya que algunos tipos de ofuscación pueden desencadenar el antivirus de la víctima.
El escenario más seguro sería abrirlo a través de una máquina virtual sin conexión a Internet. Pero una vez más, si eres REALMENTE paranoico y no confías en sandboxes / vms, bueno, esperemos que tengas algunas computadoras por ahí.
No estoy seguro de si es posible depurar con justdecompile de telerik, pero puede hacerlo con dnSpy. Así que tenga cuidado: no presione el botón de depuración brillante a menos que lo haya analizado cuidadosamente.
Lea otras preguntas en las etiquetas source-code malware code-execution