Cómo rastrear la actividad de archivos dentro de un sistema.  En este tutorial te queremos enseñar a rastrear un archivo para saber si es del todo seguro. Para completar este consejo y profundizar en la legitimidad de un archivo o proceso sospechoso, puede, a través de herramientas en línea, rastrear sus componentes.

A través de estos sitios, puede simular virtualmente la ejecución de un archivo sospechoso dentro de un sistema y, por lo tanto, hacer un informe detallado al respecto. Comprender e interpretar todos los resultados del análisis requiere una excelente comprensión de cómo funciona Windows. Sin embargo, estas herramientas en línea son tan accesibles para los curiosos como desean obtener una visión general de la acción de un ejecutable, así como para la persona con conocimientos que desea información más detallada.

En este consejo, proponemos diseccionar, como ejemplo, los resultados del análisis de archivos patch.exe en el sitio de Anubis, para ilustrar los diversos campos de investigación que este sitio propone en línea.

Cómo rastrear la actividad de archivos con programas

Ejemplo: análisis de resultados de patch.exe

1) Resumen.

En el encabezado del informe tenemos un breve resumen del análisis, con un código de color que indica el grado de riesgo en algunos cambios del sistema evaluados por el sitio.

Aquí tenemos, en orden:

  • Cambiar la configuración de seguridad de IE: Este cambio del sistema puede afectar seriamente la seguridad de la navegación web. Riesgo evaluado: tableta naranja.
  • Alteración y destrucción de la carpeta.: El ejecutable altera y destruye las carpetas no temporales. Riesgo evaluado: tableta roja.
  • Procesos generados: El ejecutable crea procesos durante su ejecución. Riesgo evaluado: tableta amarilla.
  • Actividad de registro: El ejecutable lee y cambia los valores del registro. También puede crear y monitorear claves de registro. Riesgo evaluado: tableta amarilla.

2) Analitico: La tabla de contenido resume las acciones enumeradas del proceso patch.exe, así como los diversos procesos creados o solicitados durante su ejecución.

En nuestro ejemplo, la tabla de contenido nos dice que ejecutar el archivo patch.exe provocó la ejecución de estos otros archivos: evbmy.exe, oojrg.exe, wwry.exe, rssgwysf.exey cmd.exe.

3) Información general sobre Anubis:

En esta parte, tenemos información general sobre el sitio, aquí, en orden:

  • La duración requerida para el análisis de archivos.
  • La fecha y hora de creación del informe.
  • La razón dada para completar el escaneo.
  • La versión del programa utilizado por el sitio.

4) Actividad de red:

Esta parte del informe nos informa sobre las actividades conectadas a la red, aquí Anubis detecta los intentos de conexión de red en el puerto 53.

5)  Patch.exe

Aquí tenemos información sobre el archivo enviado para su análisis, en el orden:

  • Motivo de análisis: archivo enviado para su análisis.
  • Nombre de archivo: patche.exe
  • MD5: algoritmo para obtener la huella digital única y característica de una cantidad fija de datos de un archivo (función hash criptográfica).
  • SHA-1: Otra función hash criptográfica.
  • Tamaño de archivo
  • Línea de comando
  • Estado del archivo al final de la simulación: aquí significa que el archivo ya no estará activo cuando se complete el escaneo.
  • Código devuelto al final del análisis.


6) Cargando Dynamic Link – Dlls de tiempo de carga
:

Aquí, el informe nos dice cómo llamar a las funciones de los archivos system.dll que se necesitarán para que funcione el virus, llamando a las funciones realizadas durante la compilación del código de este último.

7) Ejecución de enlace dinámico – Dlls en tiempo de ejecución:

En este nivel, el informe nos informa sobre la importación de las funciones del archivo .dll por parte del ejecutable, otras funciones que necesitará para su funcionamiento.

8) Anubis Integrated Ikarus Antivirus Scan Module:

Aquí tenemos el resultado del análisis antivirus integrado en el sitio web de Anubis.

 

9) 2.a- Patch.exe – Actividades de registro :

Los valores cambiados de registro :

Aquí, el informe habla sobre los cambios realizados por el virus en el registro del sistema. En este nivel, necesitará una comprensión profunda de cómo funciona el registro del sistema para comprender y distinguir entre una clave agregada por el virus o una clave modificada para cambiar la configuración de seguridad del sistema, por ejemplo.

Claves de registro leídas: aquí, el informe indica los valores clave leídos por el virus.

Claves de registro monitoreadas: aquí se enumeran todas las claves de registro, o valores, monitoreados en tiempo real por el virus.

10) 2.b- patch.exe – Actividad de archivo

Archivos creados: visible aquí en archivos temporales de Internet.

Archivos leídos: aquí tenemos la lista de archivos donde el virus ejecutó o leyó el contenido, es decir, donde encontraremos tantos archivos saludables como archivos relativos necesarios para el proceso de infección.

Archivos modificados: en esta parte, tenemos archivos descargados por la infección, que encontramos aquí en archivos temporales de Internet, de ahí la palabra «archivos modificados» de archivos temporales.

Los siguientes son tres módulos que nos informan sobre otros archivos o controladores solicitados por el virus mientras se ejecutan.

11) 2.c) patch.exe – Actividades de proceso :

Procesos creados : aquí, se enumerarán los archivos creados o solicitados por el archivo patch.exe.

El informe proporciona información adicional sobre las acciones de los archivos creados o utilizados por patch.exe.

12) 2.d) patch.exe – Actividad de red:

En esta parte, el informe enumera todos los nombres de dominio (contenidos en el código de virus) probados. Si es así, el servidor DNS convertirá estos nombres de dominio a direcciones IP, que el informe mencionará.

Conexión HTTP: aquí, el virus comprueba si las páginas a las que intentará conectarse existen. Si las páginas existen y la conexión se ha establecido con éxito, el virus puede entonces «silenciosamente» comenzar a descargar nuevos archivos infectados sin el conocimiento del usuario.

Tráfico TCP desconocido e intentos de conexión TCP: después de resaltar un intercambio de datos (aquí files.exe) con la red externa, Anubis resume los intentos de conexiones TCP salientes en el puerto 80.

13) 2.e) Patch.exe – Otras actividades:

Mutexes (exclusiones mutuas) creadas: a continuación se enumeran los «mutexes» creados por el virus para «regular» su actividad y evitar que muchas de sus acciones se ejecuten al mismo tiempo, lo que podría afectar su «funcionamiento correcto» o incluso un «bloqueo». «del sistema.

Esta parte es el resumen de la gestión de excepciones, es decir, de eventos inesperados o aquellos que podrían alterar el desarrollo normal de un proceso.

14) 3.Evbmy.exe : Ahora pasaremos a la segunda parte del informe, que nos informará sobre las actividades de los archivos creados por el archivo patch.exe, también escaneados.

Aquí encontramos información general sobre el archivo evbmy.exe :

  • Motivo de análisis : Proceso iniciado por el archivo patch.exe
  • Nombre de archivo: evbmy.exe
  • Estado del archivo al final de la simulación: aquí Esto significa que el proceso aún está en curso al final del análisis.
  • Código devuelto al final del análisis.

¡Tudo de nuevo! Anubis luego proporcionará información sobre los archivos secundarios basándose en los mismos criterios que el análisis.

Límites de estas herramientas en línea.

Estas herramientas en línea, si bien proporcionan información valiosa sobre las acciones de un archivo, desafortunadamente no son perfectas y pueden resultar totalmente ineficaces en algunos archivos infectados que están sujetos a análisis. De hecho, algunos archivos «inmunizados» pueden determinar si se ejecutan en un entorno virtual o si se han escaneado, en cuyo caso el informe no proporcionará ninguna información relevante.

El cuentagotas de Virut ilustra un archivo de ejemplo capaz de contrarrestar este tipo de análisis.