31 diciembre 2008

Analizando bichos online

Hoy queremos tratar a los bichos, y no precisamente al protagonista que acompaña esta entrada, si no a los virus, troyanos y malware en general.

Parece que cuando hablamos del análisis de este tipo de software online solo existe VirusTotal, gran parte de la "culpa" la tienen nuestros amigos de Hispasec, que han hecho de este portal una marca internacional. Es una de esas veces que uno se siente orgulloso de ser "Hispa" también. Pese a que es posiblemente uno de los mejores sitios, más importantes y con mejores prestaciones en esta tarea, no es único y por ello, vamos a mencionar cuatro más. que tal vez puedan sacarnos de un apuro en alguna ocasión.
  1. http://virusscan.jotti.org
  2. http://www.virustotal.com
  3. http://scanner.novirusthanks.org/index.php
  4. http://www.virscan.org
  5. http://scanner.virus.org/
Todas estas herramientas online tienen una funcionalidad similar: se manda un archivo que consideramos sospechoso o que queremos comprobar si es detectado por antivirus, se procesa y muestra una tabla con los motores soportados y su detección o no.

La siguiente imagen muestra los motores que soportan cada uno de ellos. A destacar la gran diferencia de virscan.org y virustotal.com con el resto, así como los motores exclusivos en algunos de ellos, marcados en rojo en la última columna.



Novirusthanks.org y virus.org permiten marcar una opción para que nuestra muestra no sea enviada a los laboratorios de las casas antivirus. El resto de aplicaciones, en cambio, lo enviarán de forma automática.

VirusTotal es la única aplicación que permite el envío mediante SSL y por correo electrónico, con lo que podríamos saltarnos determinadas pasarelas antivirus en un proxy http.

Otra opción curiosa la ofrece virscan.org, mediante el envío del malware por http en un archivo comprimido con una contraseña preestablecida.

Recomiendo que las probéis todas y veáis vosotros mismos cada una de ellas, no os llevará más que unos minutos. Os dejo por aquí unas capturas de mis pruebas, para que os hagáis una idea.


virusscan.jotti.org


virustotal.com

novirusthanks.org


virscan.org


virus.org



Existen también herramientas para el análisis en caja negra, no basado en firmas, y con una orientación más profesional que pueden facilitarnos el trabajo en caso de tener que analizar uno de estos bichos.
  1. http://www.cwsandbox.org
  2. http://www.threatexpert.com/submit.aspx
  3. http://www.norman.com/microsites/nsic/Submit/es
  4. http://research.sunbelt-software.com/Submit.aspx
  5. http://anubis.iseclab.org/

En este caso, el funcionamiento es distinto: se ejecuta el código en un entorno controlado (sandbox) y se monitoriza todo aquello que hace, como por ejemplo, claves de registro, accesos a red, nombres de procesos, ficheros en disco duro... Nunca será una solución final, pero para determinados casos pueden ser realmente prácticas.

Me ha impresionado bastante la aplicación de Sunbelt e IsecLab. Nuevamente os animo a que hagáis alguna prueba con ellas y observéis vosotros mismos los resultados.

Dejo otras capturas para abrir apetito.

cwsandbox.org

threatexpert.com


sunbelt-software.com


iseclab.org



Por último, SbD os desea a todos una buena I/O de año y feliz 0x7D9

3 comments :

Anónimo dijo...

Como anubis ninguno :)

Anónimo dijo...

Muy acertada la foto xD.
Del post no hay que decir nada

Rupi dijo...

Casi 5 años después acabo encontrando este post, que es de los de referencia, de los que se bookmarquea, porque nunca sabes cuando te va a hacer falta.
(Por cierto, la foto es mortal, también ha perdurado la frase "contigo no, bicho" para que siga haciendo gracia 5 años después).