He visto muchos artículos escritos sobre "investigación de malware", ¿qué información están tratando de reunir?
¿Es el origen del malware? ¿O sus patrones de comportamiento? ¿O algo más?
Whodunit, qué hace, qué vulnerabilidad explota, con qué se está comunicando (si corresponde), cómo se propaga, si contiene indicadores forenses útiles, etc., etc.
Al igual que ver un virus biológico mutante y descubrir cómo actúa y cómo desarrollar una vacuna, el propósito del malware de ingeniería inversa es determinar qué está haciendo y por qué.
Hay mucho que se puede decir de tal análisis. ¿Con qué servidores está hablando, por ejemplo? Esto fijará al mínimo un servidor comprometido, y posiblemente un servidor de control para una botnet en el mejor de los casos. Saber dónde está el servidor de control puede llevarlo a la persona o grupo responsable, o al menos darle una idea.
Del mismo modo, el análisis del malware binario posiblemente revelará vulnerabilidades desconocidas previamente. También le mostrará cómo los autores de malware intentan evadir la detección y cuáles son sus objetivos; por ejemplo, si el malware copia todos los documentos de Word a un servidor remoto, bueno, ahora sabe que están detrás de documentos de algún tipo.
El origen puede ser regalado. Al menos es razonablemente bien sabido que los compiladores de Microsoft insertan las rutas de la base de datos de depuración del programa en la salida del ejecutable si no les dice que no lo hagan; del lenguaje utilizado en dicha ruta, es posible que pueda recopilar el origen del malware o incluso la intención. Si el usuario que lo escribió lo desarrolló y lo desarrolló en c:\users\name\... bien, ¡incluso sabrá quiénes son!
En resumen, el análisis de malware consiste en averiguar qué puede hacer con respecto a la infección: cualquier cosa que pueda ayudar a identificar al culpable o una mayor detección / prevención de futuras infecciones.
Respuesta corta: encuentre lo que hace (interacciones con el sistema infectado: creación de archivos, registro de teclas, robo de contraseñas, etc.).
Esto se puede usar para obtener un patrón utilizado más adelante por un producto AV (firma de malware). También se puede utilizar para rastrear al autor.
Lea otras preguntas en las etiquetas malware