Análisis de malware 1. Ingeniería inversa.


Malware = MALicious softWARE

Ésta definición englobaría troyanos, gusanos, adware, spyware, backdoors, rootkits...

Cuando el analista profesional o aficionado se enfrenta a un programa posiblemente malicioso lo primero que debe recordar es la forma en que ha sido creado.


Inicialmente el programador lo realizó en un lenguaje de alto nivel, muy a menudo C o C++. Estos son lenguajes estructurados y orientados a objetos, donde el código está compuesto por comandos en inglés facilmente comprensibles.

Pero debemos recordar que el ordenador no entiende inglés ni ningún otro lenguaje humano, solo ceros y unos.

El código fuente (En el ejemplo en C++) debe ser compilado a "código máquina". Entre el código fuente y el código máquina, un lenguaje de bajo nivel más cercano al microprocesador pero aún con instrucciones básicas reconocibles, se denomina lenguaje ensamblador.


Fig. Ejemplo de ejecutable desemsamblado. Calc.exe, la calculadora de Windows


Por último se debe obtener el ejecutable, un fichero puramente binario con extensión .EXE o similar.

Esto sucede en general para cualquier programa, no necesariamente malicioso.
Por desgracia, el programador de malware no solo se conformará con esta perdida natural de información desde el código fuente (irrecuperable) hasta el ejecutable. 

Querrá ocultar sus creaciones del escrutinio de los antivirus y para ello "empaquetará" o cifrará partes importantes del ejecutable para impedir su detección y su desensamblado (información recuperable en un programa normal).


 Los antivirus no pueden escanear ejecutables protegidos y esto dificulta su actuación.

Otra práctica habitual entre los diseñadores de malware consiste en unir el troyano a un programa o app normales, en general de utilidad e incluso de reconocido prestigio;infectándolo.


El ejecutable infectado hará que se ejecute el malware en primer lugar y a continuación el archivo deseado, ocultando al usuario el proceso malicioso.

Imágenes  http://www.adminso.es

Comentarios

Entradas populares