Solución del cuarto Desafío de ESET

El Cuarto Desafío fue uno de los que más se ha resistido a ser resuelto hasta el momento. El problema real consistía en darse cuenta que el programa navidad.exe ofrecido funcionaba de forma distinta en un entorno real que en uno virtualizado.

Las máquinas virtuales son sistemas que simulan un entorno real y sobre el cual se puede configurar distintas opciones de procesador, memoria, unidades de almacenamiento, etc. Sobre este equipo virtual se puede instalar cualquier sistema operativo deseado y cualquier aplicación, como si se tratara de equipos físicos reales pero todo lo que se hace sobre este sistema no impacta (no debería) sobre el sistema real.

Por eso, las máquinas virtuales son el entorno ideal para probar malware (o jugar como en este caso) ya que no se afecta el sistema real y además ofrecen la posibilidad de recuperar el sistema original en cuestión de segundos, por lo que si algo sale mal, se puede seguir probando sin problemas. Los creadores de malware saben que sus creaciones pueden ser analizadas sobre entornos virtuales y días atrás mencionamos  malware con detección de máquinas virtuales.

Volviendo a nuestro desafío:

  • El programa está realizado en Visual Basic y empaquetado con el packer gratuito MEW SE pero este dato no es relevante. Los antivirus que detectan incorrectamente esta aplicación lo hacen por este empaquetamiento y es un falso positivo de esos antivirus.
  • Si el programa no detecta que se está ejecutando en entornos virtuales como Qemu, VirtualPC, VMware, VirtualPC, Anubis, JoeBox y VirtualBox, sólo muestra la conocida imagen del señor Burns y no sucede nada más. Esto fue realizado de esta manera para comprobar que efectivamente quien juega a nuestros desafío ejecute el programa en ambientes virtualizados. Si bien nuestras creaciones no son dañinas, nunca se deben probar programas descargados de Internet en entornos reales.
  • Si el programa detecta algunos de los entorno virtuales mencionados, muestra la imagen y luego de 5 segundos aparece un pequeño botón en la parte inferior izquierda. Haciendo clic sobre la imagen y presionando este botón, se informa que se debe insertar un disco en la unidad A:. Al tercer intento se muestra el mensaje “envía el codigo #d4XXX#” donde “d4” indica el número del desafío y “XXX” corresponden a números aleatorios.
  • Si se presta atención, el icono de la aplicación también es un disquete.

La solución al desafío es que se intentaba robar información al gerente a través de disquetes y además la descripción del procedimiento mencionado sobre el entorno virtual.

El ganador es Federico, quien describió dicho proceso y con quien nos estaremos poniendo en contacto a la brevedad. Una mención especial para Emiliano, quien al día siguiente también respondió correctamente.

¡Felicitaciones y nos vemos en el siguiente desafío!

Cristian

Autor , ESET

Síguenos