Análisis de malware

Las trampas del malware “consciente” y cómo detectar su comportamiento

La virtualización empieza a ser insuficiente considerando que nos enfrentamos a malware cada vez más "consciente" de técnicas de sandboxing. Una de las charlas Virus Bulletin esta semana estuvo relacionada con las principales estrategias utilizadas en los códigos maliciosos para detectar los sandbox y las consecuencias en los resultados de los análisis.

¿Cómo realizar un análisis de malware que evita la virtualización?

La forma más sencilla de analizar un archivo malicioso consiste en ejecutarlo en un entorno controlado y observar los resultados. A tales efectos, la utilización de máquinas virtuales se hace vital, ya que permite la recuperación casi instantánea del estado inicial de la máquina. Por ello, en diversas ocasiones el malware incluye mecanismos para detectar si está siendo ejecutado en un entorno virtualizado, situación ante la cual modifica su camino de ejecución para esconder su verdadero comportamiento. Hoy analizaremos algunas de estas técnicas mediante un caso práctico.