El reinado de UPX

Siguiendo con la temática ya explicada en el post anterior, El disfraz del malware, sabemos que existe una técnica llamada empaquetado, que le permite a los códigos maliciosos, en algunos casos,  camuflarse para no ser detectados. En este post mostraremos los porcentajes de muestras empaquetadas, indicando cuáles son los packers más utilizados por el malware  en  Latinoamérica.

Para lograr ocultarse, los códigos maliciosos utilizan varios tipos diferentes de empaquetadores, donde cada uno posee distintas características, las cuales el o los autores del malware pueden aprovechar para lograr su objetivo… muestras no detectadas.

De acuerdo a las muestras recibidas en nuestro laboratorio en lo que va del 2011, el 75% del total de muestras se encuentra protegida con packers de diferentes tipos. El empaquetador preferido por los creadores de malware, sigue siendo UPX con un 71,69 % de las muestras totales empaquetadas. Lo siguen bastante lejos Aspack (con 11,37%) , PECompact (7,25%), y luego ya con valores menores, y en el siguiente orden: ASProtect, UPack,  Themida, NSPack, EXECryptor, Armadillo y otros (con un 0,19%):

Empaquetadores y malware

Analizando el podio, UPX y sus derivados (recordemos que es libre por lo tanto su código fuente esta disponible en su pagina oficial), es el packer preferido por los creadores de malware. Por su parte ASPack no comparte esa característica de ser libre como UPX, pero su versión trial permite evaluar su funcionamiento, el cual posee como principal característica su poder de compresión que oscila entre 40% y 70%. Por último PECompact, otro packer privativo muy conocido, es muy utilizado por sus características de compresión y velocidad.

Como pudimos corroborar con esta nueva estadística, y teniendo en cuenta otras estadísticas como la de Virus Total o viejas estadísticas de laboratorio, pudimos ver que las tendencias en cuanto a packers no variaron mucho en estos últimos años, ni tampoco su localización geográfica.

Si bien existen algunas diferencias según quién sea el autor de las estadísticas, UPX sigue, y todo indica que seguirá, liderando el ranking estadístico de packers por mucho tiempo más.

Juan Esteban Forgia
Analista de Malware

Autor , ESET

  • Parece que las antivirus dejan a este packer un poco de lado, supongo que por el número de aplicaciones comerciales o software libre de virus que utilizan UPX, así se evitan falsos positivos como se pueden dar más fácilmente si utilizamos otro compresor como Themida o PE Compact. Obviamente esto también les echa una mano a los desarrolladores de malware.

    Saludos! ;)

    • jforgia

      Hola Germán,
      Como dice en el post, UPX es el packer mas utilizado, también es muy facil de desempaquetar por lo que no representa un gran desafío para el antivirus. Por esto no hay razón para dejarlo de lado, simplemente se desempaqueta y se analiza el archivo utilizando firmas o heuristica avanzada.
      Saludos

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Análisis de packers: UPX y sus variantes()

Síguenos