La gente del 'Team CYMRU' han liberado una herramienta online de lo mas curiosa para detectar si debemos levantar la bandera roja de alerta ante un fichero o no.
Lo primero que destaca a la hora de evaluar la herramienta es que no han construido el típico WebService para localizar datos, y mucho menos han implementado complicadas, lentas y pesadas 'querys SOAP' para intercambiar interminables porciones de código XML.
Lo que han hecho ha sido emplear algo tan probadamente fiable y rápido como son los servidores Whois y DNS.
Disponen de una extensa base de datos de Hashes en formato MD5 y SHA de especímenes que han sido reportados previamente como virus, malware, troyanos o demás especies nocivas, y para realizar las consultas, se pueden emplear herramientas estándar de cualquier sistema Unix (y que también se encuentran disponibles en versiones Win32) como son los comandos whois y dig.
Veamos un ejemplo de como se usa la plataforma:
Tomamos un espécimen que sabemos es típicamente detectado como patrón-malicioso, el famoso fichero-test-eicar y lo bajamos:
$ wget http://www.eicar.org/download/eicar.com.txt
Una vez hecho eso, obtenemos su resumen MD5
$ md5sum eicar.com.txt
44d88612fea8a8f36de82e1278abb02f eicar.com.txt
Con esos datos lanzamos la petición al servidor Whois de CYMRU:
[hash.cymru.com]
44d88612fea8a8f36de82e1278abb02f 1229304665 84
Y la respuesta que obtenemos significa:
Lo primero que destaca a la hora de evaluar la herramienta es que no han construido el típico WebService para localizar datos, y mucho menos han implementado complicadas, lentas y pesadas 'querys SOAP' para intercambiar interminables porciones de código XML.
Lo que han hecho ha sido emplear algo tan probadamente fiable y rápido como son los servidores Whois y DNS.
Disponen de una extensa base de datos de Hashes en formato MD5 y SHA de especímenes que han sido reportados previamente como virus, malware, troyanos o demás especies nocivas, y para realizar las consultas, se pueden emplear herramientas estándar de cualquier sistema Unix (y que también se encuentran disponibles en versiones Win32) como son los comandos whois y dig.
Veamos un ejemplo de como se usa la plataforma:
Tomamos un espécimen que sabemos es típicamente detectado como patrón-malicioso, el famoso fichero-test-eicar y lo bajamos:
$ wget http://www.eicar.org/download/eicar.com.txt
Una vez hecho eso, obtenemos su resumen MD5
$ md5sum eicar.com.txt
44d88612fea8a8f36de82e1278abb02f eicar.com.txt
Con esos datos lanzamos la petición al servidor Whois de CYMRU:
$ whois -h hash.cymru.com 44d88612fea8a8f36de82e1278abb02f
[Querying hash.cymru.com][hash.cymru.com]
44d88612fea8a8f36de82e1278abb02f 1229304665 84
Y la respuesta que obtenemos significa:
- primero el hash que le hemos enviado
- la segunda cifra es la hora en formato epoch en la que ese espécimen fue 'submiteado' a la base de datos
- finalmente, el ultimo dato es el porcentaje de probabilidades de que el hash enviado sea algo sospechoso.
$ whois -h hash.cymru.com 44d88612fea8a8f36de82e1278abb032
[Querying hash.cymru.com]
[hash.cymru.com]
44d88612fea8a8f36de82e1278abb032 NO_DATA
Tal vez esta forma de realizar las peticiones resulte un tanto 'cruda' para un usuario novel, pero de cara a automatizar procesos el poder hacerlo de esta forma no tiene precio
1 comments :
Panda no elimina : Trj/sinowal.gen
C:WINDOWS/Sistem32/low/sec
Publicar un comentario