un amigo me llamó hoy porque abrió un archivo adjunto de un correo electrónico. Era un archivo exe con doble cremallera, y malware:
Comencé a analizar el archivo: primero con virustotal, luego con radare2 y la versión gratuita de IDA-Pro. Traté de desmontar & descompilar el archivo, pero la descompilación falló varias veces. Configuré una máquina virtual y traté de hacer un análisis dinámico del malware obvio, pero parece que tiene VM y detección de depuración.
Virustotal me dio varios resultados: mi muestra parece ser nueva; Solo 2 motores lo detectaron como malware. Ahora, algunas horas después, más motores encontraron "algo":
Ad-Aware Gen:Variant.Razy.64218
Arcabit Trojan.Razy.DFADA
Cyren W32/Trojan.KQSF-4006
ESET-NOD32 Win32/TrojanDownloader.Nymaim.BA
GData Win32.Trojan-Downloader.Nymaim.3J4DDZ
eScan Gen:Variant.Razy.64218
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen
Pero, ¿qué malware tengo aquí?
Virustotal dice que el malware abre / lee / altera los siguientes archivos:
C:e1495fc92e7062775399d62cc2a7bc62f54955cd8ce4f8d9af61c9b71b4eadd
\.\PIPE\lsarpc
C:\WINDOWS\system32\winsock.dll
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\netmsg.dll
rpcrt4.dll
shlwapi.dll
version.dll
shell32.dll
user32.dll
advapi32.dll
ntdll.dll
kernel32.dll
y comienza el siguiente proceso:
C:\WINDOWS\system32\drwtsn32 -p 668 -e 172 -g
Después del desmontaje, encontré algunas pistas de que el malware posiblemente utilice HttpOPenRequestA a través de wininet, por lo que tal vez intente comunicarse con Internet.
Encontré muchas cosas, pero:
¿Cómo puedo comprobar que el malware se ejecutó e infectó el sistema?
Por supuesto, un paso es buscar los archivos que se crearon durante el tiempo de ejecución posible. Pero debería ser posible falsificar las marcas de tiempo, por lo que comparar los archivos en la PC infectada posible con algunos archivos limpios a través de hashsums es quizás la mejor manera.
¿Pero dónde puedo encontrar "archivos limpios"? ¿O hay una mejor manera de probar la infección?
Gracias & ¡salud!
Editar:
Las preguntas formuladas & Las respuestas a aquí son buenas como guía para los sistemas infectados . Pero mi pregunta es cómo puedo saber si mi sistema está comprometido o no, especialmente para este nuevo tipo de malware. No puede ser una solución para destruir todos los sistemas como prevención ...