23 diciembre 2008

Como saber si 'ese' fichero es sospechoso

La gente del 'Team CYMRU' han liberado una herramienta online de lo mas curiosa para detectar si debemos levantar la bandera roja de alerta ante un fichero o no.

Lo primero que destaca a la hora de evaluar la herramienta es que no han construido el típico WebService para localizar datos, y mucho menos han implementado complicadas, lentas y pesadas 'querys SOAP' para intercambiar interminables porciones de código XML.

Lo que han hecho ha sido emplear algo tan probadamente fiable y rápido como son los servidores Whois y DNS.

Disponen de una extensa base de datos de Hashes en formato MD5 y SHA de especímenes que han sido reportados previamente como virus, malware, troyanos o demás especies nocivas, y para realizar las consultas, se pueden emplear herramientas estándar de cualquier sistema Unix (y que también se encuentran disponibles en versiones Win32) como son los comandos whois y dig.

Veamos un ejemplo de como se usa la plataforma:

Tomamos un espécimen que sabemos es típicamente detectado como patrón-malicioso, el famoso fichero-test-eicar y lo bajamos:

$ wget http://www.eicar.org/download/eicar.com.txt

Una vez hecho eso, obtenemos su resumen MD5

$ md5sum eicar.com.txt
44d88612fea8a8f36de82e1278abb02f eicar.com.txt

Con esos datos lanzamos la petición al servidor Whois de CYMRU:

$ whois -h hash.cymru.com 44d88612fea8a8f36de82e1278abb02f
[Querying hash.cymru.com]
[hash.cymru.com]
44d88612fea8a8f36de82e1278abb02f 1229304665 84

Y la respuesta que obtenemos significa:
  • primero el hash que le hemos enviado
  • la segunda cifra es la hora en formato epoch en la que ese espécimen fue 'submiteado' a la base de datos
  • finalmente, el ultimo dato es el porcentaje de probabilidades de que el hash enviado sea algo sospechoso.
En caso de que el HASH enviado no estuviera en la base de datos obtendriamos algo como:

$ whois -h hash.cymru.com 44d88612fea8a8f36de82e1278abb032
[Querying hash.cymru.com]
[hash.cymru.com]
44d88612fea8a8f36de82e1278abb032 NO_DATA

Tal vez esta forma de realizar las peticiones resulte un tanto 'cruda' para un usuario novel, pero de cara a automatizar procesos el poder hacerlo de esta forma no tiene precio

1 comments :

Elpaguillo dijo...

Panda no elimina : Trj/sinowal.gen
C:WINDOWS/Sistem32/low/sec