Interpretación de resultados de una detección de Malware

Gran parte del tiempo cuando realizamos una búsqueda de virus o analizamos el sistema con el antivirus, nos encontramos con una detección de un virus o malware en general y no entendemos el resultado. Cuando se detecta un virus no sabemos qué clase de virus es, cuál es su daño dentro del pc, o si solo es una falsa alarma. Con esta información sabrás a qué clase de virus o malware te enfrentas, el daño que este ha hecho en tu pc y lo que has perdido. (Ya te tomaron fotos desnudo)

Pero antes de poder interpretar, los resultados tenemos que comprender lo siguiente. Nos basaremos en un orden, el cual usan la mayoría de los Antivirus:

Plataforma, Tipo, Nombre/familia y Variante.

1.- Plataforma.

La plataforma especifica el sistema operativo, arquitectura del virus y en algunas ocasiones especifica el lenguaje de programación en el que fue diseñado. Pero también la plataforma puede ser genérica, es decir sin una plataforma especifica.

Ejemplo:

PHP
Win32
Win64
Script
Java

2.- Tipo.

El tipo es un elemento que indica el tipo de virus con el cual estamos infectados basándose en la actividad de dicho virus.

Ejemplo:

Trojan
Dropper
Worm
Spy
Virus

3.- Nombre/familia

Evidentemente este elemento como su nombre lo indica, especifica el nombre del virus, o identifica la familia a la que dicho virus pertenece. Esto también dependerá del antivirus.

Ejemplo:

– Inf
– Q
– GT
– F
– gen

4.- Variante

Muchos virus o malware evolucionan, ya sea porque el creador incrementa sus funcionalidades o cuando el malware cambia partes de su código para evadir la detección o simplemente para aumentar o escalar los privilegios. Esta dependerá de la base de datos del antivirus.

Ejemplo:

– [SupS]
– [Tg]
– [Heur]
– [Adw]
– [Trj]

Ahora tomaremos por ejemplo el resultado de una detección de Avast.

En la parte que dice “Infección” podemos visualizar la información del virus.

Win32:Dropper-gen[DRP]

Con esa información y retomando lo anteriormente mencionado tenemos lo siguiente:

Plataforma = Win32
Tipo = Dropper
Nombre/Familia = gen
Variante = DRP

Al saber que la plataforma es Win32 sabemos que es un virus que está diseñado para infectar a los sistemas Windows de 32bits. El virus es un dropper el cual cumple la función de conectarse a Internet y descargar software o complementos del mismo, por lo general es usado en troyanos para instalar keylogger o backdoors.

Con esta información sabemos que nos enfrentamos a un malware que descarga software que puede ser perjudicial, en la mayoría de los casos es software para publicidad.

Y con este método o información tendremos el conocimiento de a que virus nos estamos enfrentando o que virus ya nos infectó. Esto también es útil cuando uno hace analizáis en VirusTotal u otros servicios de análisis en línea, con la información sabremos si es un malware o una falsa alarma.

Como dato extra comparto el siguiente link de PandaSecurity, el cual contiene un glosario con definiciones técnicas relacionadas a los malware y antivirus para una mejor interpretación y más conocimiento.

Glosario de PandaSecurity

Por otro lado, gracias a @Cyb3rops contamos con un CheatSheet desarrollado por él, donde podemos encontrar datos extra que nos pueden ayudar a interpretar mucho mejor la detección de malware. Nosotros en RedBird hicimos un post ya hablando un poco de esta CheatSheet, que nos ha sido de mucha utilidad.

Link: Antivirus Event Analysis Cheat Sheet | PDF

Por otro lado, en nuestra serie Armas para Hacking en el capitulo 2 compartimos una herramienta muy buena he interesante, para quienes se dedican al análisis de malware y su respectiva ingenieria inversa, la herramienta en cuestión se llama AnyRun.

Link: Armas para Hacking | #2

Por ultimo de dejamos una recomendacion de nuestros otros post relacionados al malware:

Interpretación de resultados de una detección de Malware | v2