Detección de malware empaquetado con Themida y VMProtect

Los códigos maliciosos buscan constantemente mejorar sus estrategias de infección incorporando mecanismos auto-defensivos que permitan entorpecer y/o prolongar el tiempo de investigación por parte de los profesionales de seguridad.

Bajo esta premisa los creadores de malware suelen emplear empaquetadores (packers). Programas que no son códigos maliciosos y que permiten reducir el tamaño de archivos ejecutables proporcionando además diferentes funcionalidades destinadas a proteger el archivo.

Themida y VMProtect, ambos comerciales, son dos empaquetadores de los muchos que existen actualmente que, debido a los complejos niveles de protección de archivos que utilizan, suelen ser utilizadas para someter códigos maliciosos a sus funcionalidades. En consecuencia y buscando ampliar la protección integral del usuario y su sistema, los productos de ESET han comenzado a detectar (desde la actualización 5187) como malware (troyanos) a aquellos archivos que hubieran sido empaquetados con versiones no licenciadas de estos productos. Estas versiones no licenciadas se trata de licencias que hayan sido incluidas en las listas negras oficiales de los fabricantes.

Actualmente muchos códigos maliciosos son empaquetados por Themida y VMProtect a través de versiones no licenciadas, aunque hay casos de aplicaciones benignas que utilizan los mismos métodos. En estos casos, recomendamos evitar el uso de aplicaciones que hayan sido empaquetadas con versiones no licenciadas ya que podrían llegar a comprometer los equipos y la red informática. En caso de que una aplicación benigna sea detectada por ESET debido al uso de versiones no licenciadas de los empaquetadores, es recomendable reportar el problema al desarrollador de la aplicación.

Vale destacar que la actualización 5187 de las soluciones de ESET también mejora el rendimiento de la exploración y análisis de los archivos empaquetados y que los códigos maliciosos empaquetados con licencias legales de Themida o VMProtect seguirán siendo detectados de la misma manera que venían siendo detectados hasta el momento.

Ante cualquier problema sobre el tema en cuestión, no dude en contactarnos para recibir respuesta personalizada.

Jorge Mieres
Analista de Seguridad

Autor , ESET

Síguenos