Analisis de Malware

UNIVERSIDAD INTERNACIONAL DE LA RIOJA
MAESTRIA EN SEGURIDAD INFORMATICA
CURSO: DISEÑO Y DESARROLLO DE PROGRAMAS
INFORMATICOS SEGUROS
ACTIVIDAD 3
ANALISIS DE MALWARE
PROFESOR DE LA ASIGNATURA
CARLOS MARTINEZ FERRAEZ
PRESENTA:
SERGIO MARTÍNEZ AGUILAR

© Universidad Internacional de La Rioja (UNIR)
13 de febrero de 2023
Asignatura Datos del alumno Fecha
Diseño y Desarrollo de Apellidos: Martínez Aguilar
Programas Informáticos 13/02/2023
Seguros Nombre: Sergio
TABLA DE CONTENIDO
1. INTRODUCCION ............................................................................................................................. 2
2. ACCIONES INICIALES ...................................................................................................................... 2
2.1. INICIAR LA MÁQUINA VIRTUAL.............................................................................................................2
2.2. TOMAR INSTANTÁNEA DEL MENÚ MAQUINA..........................................................................................3
2.3. VERIFICAR LA INTEGRIDAD DEL FICHERO .................................................................................................3
2.4. INICIO PROCESS EXPLORER ..................................................................................................................5
3. CLASIFICACIÓN .............................................................................................................................. 5
3.1. IDENTIFICACIÓN DEL MALWARE ...........................................................................................................5
3.2. COMPROBACIÓN DEL TIPO DE MALWARE ...............................................................................................6
3.3. IDENTIFICACIÓN DE TÉCNICAS DE OFUSCAMIENTO ....................................................................................6
3.4. FORMATO Y ESTRUCTURA DEL FICHERO .................................................................................................7
4. ANÁLISIS DINÁMICO O DE COMPORTAMIENTO ............................................................................. 7
4.1. PROCESS EXPLORER ...........................................................................................................................7
4.2. STRINGS ..........................................................................................................................................9
5. RESPUESTA A LAS PREGUNTAS ...................................................................................................... 9
5.1. HASH MD5 DE ARCHIVO MALICIOSO .....................................................................................................9
5.2. ¿CUÁL ES EL PUNTO ORIGINAL DE ENTRADA DEL EJECUTABLE (OEP)? ..........................................................9
5.3. ¿A QUÉ DLL HACE REFERENCIA EL FICHERO? ..........................................................................................9
5.4. ¿ESTA COMPRIMIDO EL FICHERO? EN CASO AFIRMATIVO INDIQUE CUAL ES EL COMPRESOR. .............................9
5.5. ¿QUÉ INDICADORES SOSPECHOSOS PRESENTA EL ARCHIVO? .......................................................................9
5.6. ¿QUÉ OBSERVAS AL SUPERVISAR ESTE MALWARE CON PROCESS EXPLORER? .................................................9
5.7. ¿PUEDES IDENTIFICAR MODIFICACIONES DE LAS CADENAS DEL PROCESO EN MEMORIA CON RESPECTO AL DISCO? 10
5.8. ¿QUÉ ARCHIVOS CREA? ....................................................................................................................10
5.9. ¿CUÁL ES EL PROPÓSITO DE ESTE? ......................................................................................................10
1
Actividades
1. INTRODUCCION
Malware es cualquier programa que se ejecuta en un sistema informático
sin conocimiento del usuario y le provoca un perjuicio.
Un paso importante para facilitar la adquisición de conocimiento sobre un

malware concreto es la realización de un proceso sistemático y metodológico de
análisis, cuyo principal objetivo es el obtener una comprensión completa del
mismo, en lo relativo a su funcionamiento, identificación y formas de eliminación.
2. ACCIONES INICIALES
2.1. Iniciar la Máquina Virtual
Para iniciar con la actividad iniciaremos nuestra máquina virtual la cual
esta instalada sobre Virtual Box, en un sistema operativo Windows XP SP2, como
podemos observar en la siguiente imagen.
2
Actividades
2.2. Tomar Instantánea del Menú Maquina

Procederé a tomar una instantánea a la cual llamare estado inicial, con
el objeto de guardar el estado de mi máquina virtual. Ver la siguiente imagen.
2.3. Verificar la Integridad del Fichero

Hacemos una verificación de la integridad del fichero con la utilidad
MD5summer, y vamos a seleccionar la carpeta C:/Windowsy vamos a solicitar
crear el hash de todos los ficheros presionando el botón add recursively de la
siguiente manera:
3
Actividades
4
Actividades
2.4. Inicio Process Explorer

Ahora procederé a iniciar mi utilidad Process Explorer, para observar los
procesos que habitualmente tiene Windows XP, de la siguiente manera:
3. CLASIFICACIÓN
3.1. Identificación del Malware
Procedo a la identificación del malware con la herramienta WinMD5, aqi
mismo nos muestra el hash MD5.
5
Actividades
3.2. Comprobación del tipo de Malware

Ahora procederé a realizar la comprobación del tipo de malware, subiendo
el hash MD5 a la página de virustotal, quedando de la siguiente manera:
3.3. Identificación de Técnicas de ofuscamiento

En este paso procederé a la identificación del empaquetamiento del
archivo, con la herramienta PEiD, de la siguiente manera:
6
Actividades
3.4. Formato y Estructura del Fichero
Ahora procederé a comprobar la estructura del fichero así mismo obtendré

el punto original de entrada (OEP):
4. ANÁLISIS DINÁMICO O DE COMPORTAMIENTO

4.1. Process Explorer
Analizando el comportamiento con la herramienta Process Explorer,
ejecutando el malware en un entorno controlado, procederé a ejecutar el archivo
Fichero de Analisis1.exe, dando doble clic en el mismo quedando de la siguiente
manera, anteriormente ya tenemos la pantalla de los procesos que está ejecutando
nuestro Windows de esta manera observaremos el proceso que genera nuestro

malware:
7
Actividades
Observando con la herramienta Process Monitor nos podemos darcuenta

de lo siguiente:
8
Actividades
4.2. Strings
5. RESPUESTA A LAS PREGUNTAS

5.1. Hash MD5 de archivo malicioso
e2bf42217a67e46433da8b6f4507219e
5.2. ¿Cuál es el punto original de entrada del
ejecutable (OEP)?
00001ADB
5.3. ¿A qué DLL hace referencia el fichero?
Kernel32.dll, ntdll.dll
5.4. ¿Esta comprimido el fichero? En caso afirmativo
indique cual es el compresor.
No está comprimido
5.5. ¿Qué indicadores sospechosos presenta el

archivo?
5.6. ¿Qué observas al supervisar este malware con
Process Explorer?
9
Actividades
Podemos observar que al monitorear nuestros procesos nos crea un

proceso llamado Fichero de Analisis.exe, y posteriormente desaparece
dejando lugar al proceso svchost.exe, haciendo de esto que el archivo sea
sospechoso.
5.7. ¿Puedes identificar modificaciones de las
cadenas del proceso en memoria con respecto al
disco?
Se puede identificar que si ha realizado modificaciones en memoria ya que
a creado una cadena llamada practicalmalwareanalysis.log.
5.8. ¿Qué archivos crea?
En la carpeta donde se encuentra guardado el archivo malware, nos crea
un archivo llamado practicalmalwareanalysis.log.
5.9. ¿Cuál es el propósito de este?
Para mí el propósito de este malware observando las cadenas podemos
darnos cuenta de que tiene las siguientes:
10
Actividades
Ya que estas no se encuentran en archivos característicos de Windows

motivo por el cual podemos decir que estamos en presencia de un malware de tipo
keylogger, y para demostrarlo vamos a realizar una prueba abriendo el bloc de
notas por medio de atajos la tecla de Windows + r, y en el archivo vamos a escribir
realizar la prueba de malware keylogger quedando nuestro archivo de la siguiente
manera:
Ahora lo que hemos realizado quedara escrito en el archivo que nos creó el
malware en la carpeta donde se encuentra nuestro malware. De la siguiente
manera:
11
Actividades
12
Actividades

Analisis de Malware

Cargado por

Copyright:

Formatos disponibles

Analisis de Malware

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analisis de Malware

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD INTERNACIONAL DE LA RIOJA

MAESTRIA EN SEGURIDAD INFORMATICA

CURSO: DISEÑO Y DESARROLLO DE PROGRAMAS

CARLOS MARTINEZ FERRAEZ

SERGIO MARTÍNEZ AGUILAR

Un paso importante para facilitar la adquisición de conocimiento sobre un

2.2. Tomar Instantánea del Menú Maquina

2.3. Verificar la Integridad del Fichero

2.4. Inicio Process Explorer

3.2. Comprobación del tipo de Malware

3.3. Identificación de Técnicas de ofuscamiento

3.4. Formato y Estructura del Fichero

Ahora procederé a comprobar la estructura del fichero así mismo obtendré

4. ANÁLISIS DINÁMICO O DE COMPORTAMIENTO

nuestro Windows de esta manera observaremos el proceso que genera nuestro

Observando con la herramienta Process Monitor nos podemos darcuenta

5. RESPUESTA A LAS PREGUNTAS

5.5. ¿Qué indicadores sospechosos presenta el

Podemos observar que al monitorear nuestros procesos nos crea un

Ya que estas no se encuentran en archivos característicos de Windows

También podría gustarte