La nueva versión de la herramienta utilizada para análisis dinámico de malware se encuentra disponible hace unos días. Ahora integra funcionalidades de VirusTotal para facilitar el análisis.
Process Explorer es una herramienta capaz de monitorear procesos y servicios en Windows. Es muy útil al momento de llevar a cabo un análisis dinámico de malware, ya que permite, por ejemplo, ver qué procesos se iniciarán al llevarse a cabo una infección. Esto nos ayudará a encaminar un poco más el análisis, pudiendo distinguir los códigos maliciosos que realmente se están ejecutando y de esta forma poder analizarlos por separado.
Pertenece a la suite de herramientas SysInternals, un conjunto de herramientas de análisis con fines diversos desarrollada por una empresa del mismo nombre. En dicha empresa (que fue comprada en 2006 por Windows) se encontraba Mark Russinovich, un actual referente en el ámbito de seguridad informática. Pues bien, el 5 de Enero Russinovich dio a conocer en la red social Twitter una captura de lo que sería la nueva versión de Process Explorer, que ahora tenemos a disposición.
La captura fue una grata sorpresa, ya que evidenciaba la integración de la herramienta conVirusTotal, un servicio gratuito para analizar URL y archivos sospechosos. De esta forma, dos servicios que se utilizaban juntos para la tarea de analizar malware quedarían relacionados entre sí, haciendo el análisis más sencillo.
En nuestro Laboratorio de Investigación de ESET Latinoamérica hemos llevado a cabo algunas pruebas sobre la herramienta, y la funcionalidad esperada se puede percibir a simple vista, como podemos ver en la captura siguiente:
La columna indicada corresponde al análisis de los MD5 en VirusTotal de los programas en ejecución. Al igual que en el sitio, se puede ver la cantidad de detecciones del archivo por las soluciones antivirus (es importante recordar que cada una de ellas tiene criterios de detección diversos, y por ese motivo el índice de detección no puede ser utilizado para comparar soluciones con certeza). Si seleccionamos alguna, podremos acceder al sitio de VirusTotal con información del archivo en cuestión.
Otra funcionalidad interesante en la herramienta es la posibilidad de reportar muestras desconocidas al sitio, como podemos ver en esta captura:
De esta forma, el archivo desconocido podrá ser analizado y podremos ver el resultado en Process Explorer.
En las pruebas realizadas notamos que la herramienta es actualmente un poco inestable, presentando algunos cierres inesperados. De todas formas, no hay dudas de que la nueva funcionalidad hará más fácil el análisis códigos maliciosos, ya que dos herramientas que antes se utilizaban por separado ahora se encuentran integradas, haciendo las cosas más simples.
Imagen de Reategui12 en Wikimedia. Licencia CC BY-SA 3.0
