Accidentalmente encontré el código fuente de algunos programas maliciosos, ¿qué hacer?

  

debo pegarlo en mi IDE, compilarlo y luego enviarles la versión construida

Esa no es una buena opción. A menos que haya alguna razón para creer que el autor del malware y usted tienen un entorno de desarrollo en común al que el proveedor de AV no puede acceder de manera razonable, el proveedor de AV puede hacer esto por sí mismo y lo hará si cree que sería útil. Es muy probable que puedan hacer un mejor trabajo al considerar la pregunta, "¿cómo se vería el malware liberado y cómo podemos detectar la variedad completa de malware que es probable que veamos atacando esta falla?" de lo que puedes, porque está directamente en su línea de trabajo.

Considera: en tus manos, ya que no eres malicioso, esto se convierte en una prueba de código de exploit de concepto. Podría haber sido destinado ser un malware, y usted no descubrió la falla, pero dejando de lado los detalles de crédito y prioridad, está básicamente en la misma posición con respecto a la divulgación de la que estaría en si usted mismo descubrió la falla y escribió este código para demostrar que es explotable.

Por lo menos deberías:

• Busque secciones cortas reconocibles del código en línea para asegurarse de que este código fuente específico no esté publicado. Sé que has deducido lo contrario, pero no puedo evitar la molesta sensación de que tal vez este es código de vulnerabilidad de prueba de concepto y no malware.

• Ir a través del proceso de divulgación de fallas del proveedor del "programa de seguridad" que este código explota. Si no tienen un proceso, envíe un correo electrónico o póngase en contacto con ellos y pregunte. Haga todo lo que pueda dentro de este proceso para expresar su conclusión de que un exploit operativo para la falla ya está en libertad.

• Si no obtiene una respuesta satisfactoria, diríjase a uno o más proveedores de AV. Descubra cómo su proveedor elegido prefiere recibir envíos de malware o use una lista existente de detalles de contacto . Dado que este es un caso un tanto inusual, ya que tiene una fuente que enviar en lugar de un simple binario malicioso, le aconsejo que se incline hacia cualquier cosa que parezca que podría haber un humano en el otro extremo.

• No se centre solo en el AV que esté utilizando: si puede persuadir a cualquier proveedor de AV (principal) para que reconozca el problema, seguirán otros, incluido el suyo. Los proveedores de AV más grandes también están en mejor posición para convencer al proveedor del software defectuoso para que haga algo al respecto que, sin ofenderte, a una persona aleatoria. Si puede identificar en la cobertura de la prensa a cualquier investigador de seguridad que haya descubierto fallas en el mismo software o software del mismo proveedor, inclúyalos en su lista de personas con las que se puede contactar. Ya se han ocupado del proceso de divulgación que no logró satisfacerlo.

• Si aún así no obtiene una respuesta satisfactoria, entonces, como último recurso, envíe una versión binaria compilada [*] del malware sospechoso como se indica anteriormente, y espere que su rutina para los binarios enviados haga un mejor trabajo que ellos. Hizo con la fuente.

[*] ya lo has compilado, por lo que el barco ha navegado por cualquier problema que pueda explotar tu compilador , así como es un código para explotar este programa de seguridad. En ese sentido, podría explotar su editor de texto, y ya lo vio con eso. podría explotar su pila de red, y usted ya lo descargó. Tal es la vida.

Me temo que su binario compilado diferirá mucho del malware real que se puede encontrar en la naturaleza. Los diferentes compiladores y marcas de línea de comando producirán binarios completamente diferentes, y el binario de malware puede optimizarse / ofuscarse aún más utilizando herramientas adicionales o incluso manualmente.

Es probable que el envío de su binario compilado sea contraproducente y que solo desperdicie el tiempo de todos. En su lugar, si no puede enviar directamente el archivo de código fuente (debido a que su forma espera un binario, etc.), intente ponerse en contacto con un humano y proporcionarle la fuente.

La solución más común para tratar con archivos de malware es comprimirlos (por ejemplo, en un archivo zip). Sin embargo, dado que muchas herramientas de AV ahora miran dentro de los archivos, es posible que deba frustrar los intentos de inspección automática, la solución más sencilla es poner una contraseña en el archivo zip (que encripta el contenido).

Como regla general, la contraseña se distribuye junto con una muestra de malware, ya que se intenta evitar que sea abierto por máquinas, pero no por humanos. Con frecuencia, la contraseña será algún tipo de texto de advertencia, como "malware" o "esto es un virus" o algo así, para dejar absolutamente claro a cualquier persona humana que el contenido puede ser perjudicial.

No sé cuál es el proveedor de AV al que desea enviarlo (en realidad, no estoy seguro de por qué desearía restringir su envío a un solo proveedor de AV)

Lo que debe hacer es ponerse en contacto con el proveedor de AV. Tendrán algún correo electrónico / lista de correo / foro / chat ... disponible. Explique que tiene un código fuente malicioso y desea enviarlo. Su problema es llevar el archivo a un ser humano (suponiendo que nadie jamás analizará los archivos binarios no ejecutables enviados a ellos, lo que parece ser un error de su parte), o, en ocasiones, al departamento correcto, que luego asegúrate de que llegue a la persona adecuada.

No obstante, tenga en cuenta que el código fuente que encontró puede no , sus analistas están demasiado ocupados para procesar su muestra (pero asegúrese de que la archivarán en caso de que es útil en el futuro), o la compañía de AV puede no molestarse (después de todo, no tienen la obligación de revisar sus presentaciones).

Si está utilizando Avast AntiVirus, una vez que haya abierto la Interfaz de usuario, debería haber una información de contacto en algún lugar. Incluso una dirección de correo electrónico será suficiente. Sólo tienes que copiar y pegar y enviarlo. De una forma u otra, un empleado lo enviará a donde deba ir.
Ahora, por una medida de seguridad, en caso de que el malware haya hecho algo "Detrás de las cortinas", es una buena idea ejecutar un análisis de arranque. (Una opción disponible en la mayoría de AV).