comprobando si el malware alteró los archivos del sistema en Windows [cerrado]

Question

comprobando si el malware alteró los archivos del sistema en Windows [cerrado]

#1 de WhiteWinterWolf (1 votos)

-3

un amigo me llamó hoy porque abrió un archivo adjunto de un correo electrónico. Era un archivo exe con doble cremallera, y malware:

Comencé a analizar el archivo: primero con virustotal, luego con radare2 y la versión gratuita de IDA-Pro. Traté de desmontar & descompilar el archivo, pero la descompilación falló varias veces. Configuré una máquina virtual y traté de hacer un análisis dinámico del malware obvio, pero parece que tiene VM y detección de depuración.

Virustotal me dio varios resultados: mi muestra parece ser nueva; Solo 2 motores lo detectaron como malware. Ahora, algunas horas después, más motores encontraron "algo":

Ad-Aware    Gen:Variant.Razy.64218  
Arcabit     Trojan.Razy.DFADA   
Cyren       W32/Trojan.KQSF-4006    
ESET-NOD32  Win32/TrojanDownloader.Nymaim.BA    
GData       Win32.Trojan-Downloader.Nymaim.3J4DDZ   
eScan       Gen:Variant.Razy.64218  
Qihoo-360   HEUR/QVM20.1.0000.Malware.Gen

Pero, ¿qué malware tengo aquí?

Virustotal dice que el malware abre / lee / altera los siguientes archivos:

C:e1495fc92e7062775399d62cc2a7bc62f54955cd8ce4f8d9af61c9b71b4eadd 
\.\PIPE\lsarpc
C:\WINDOWS\system32\winsock.dll 
C:\WINDOWS\system32\drwtsn32.exe 
C:\WINDOWS\system32\netmsg.dll 

rpcrt4.dll
shlwapi.dll
version.dll 
shell32.dll 
user32.dll 
advapi32.dll
ntdll.dll
kernel32.dll

y comienza el siguiente proceso:

C:\WINDOWS\system32\drwtsn32 -p 668 -e 172 -g

Después del desmontaje, encontré algunas pistas de que el malware posiblemente utilice HttpOPenRequestA a través de wininet, por lo que tal vez intente comunicarse con Internet.

Encontré muchas cosas, pero:

¿Cómo puedo comprobar que el malware se ejecutó e infectó el sistema?

Por supuesto, un paso es buscar los archivos que se crearon durante el tiempo de ejecución posible. Pero debería ser posible falsificar las marcas de tiempo, por lo que comparar los archivos en la PC infectada posible con algunos archivos limpios a través de hashsums es quizás la mejor manera.

¿Pero dónde puedo encontrar "archivos limpios"? ¿O hay una mejor manera de probar la infección?

Gracias & ¡salud!

Editar:

Las preguntas formuladas & Las respuestas a aquí son buenas como guía para los sistemas infectados . Pero mi pregunta es cómo puedo saber si mi sistema está comprometido o no, especialmente para este nuevo tipo de malware. No puede ser una solución para destruir todos los sistemas como prevención ...

malware windows infection trojan

pregunta rudolf 14.06.2016 - 22:48

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware windows infection trojan

Asegurando el script php desde la inyección sql ¿Qué papel desempeña Java en Cyber Security [cerrado]

score 1 · Answer 1

De tus comentarios:

Solo quiero saber cómo probar si un sistema está infectado o no.

Esto es lo que se denomina análisis forense . Debe tener en cuenta que un malware bien hecho tomará precauciones específicas para permanecer lo más indetectable posible y ocultar su funcionamiento interno.

Por lo tanto, se requieren competencias muy específicas para realizar dicho análisis, esto es tan cierto que ahora es toda una disciplina en seguridad de TI. Como nunca podría convertirse en arquitecto de seguridad o pentester sobre la marcha, aprendería a estudiar procedimientos, herramientas y técnicas específicas de este dominio.

No digo que esto no sea factible, pero si estás interesado en este dominio y estás dispuesto a aprender, existen formas mejor documentadas que tomar un malware aleatorio e intentar reinventar la rueda.

Y si solo quiere determinar con certeza si una computadora está infectada y no encuentra ninguna evidencia por sí misma, tiene la opción de asumirla o, si por alguna razón no puede tomar esa decisión, comuníquese con un Empresa de seguridad informática y solicitar un análisis forense.