martes, 26 de mayo de 2009

Malware, malware y más malware

Varias releases y noticias sobre malware, que parece que vienen todas juntas.

Si hace apenas unos días comentábamos la aparición de un módulo de python que permitía debuggear aplicaciones win32 bajo Windows, esta misma tarde me encuentro gratas noticias a través del blog de Michale Hale Ligh. Autor del plugin malfind.py para el framework Volatility, es, sin duda, toda una autoridad en el campo del análisis de malware.

Pues bién, este señor acaba de liberar varios sources muy interesantes a nivel didáctico:

  • FindFeebs
    Programa que permite detectar los cambios producidos en el sistema por la dll maliciosa feeds. Para ello, y en un sistema infectado, toma un snapshot, localiza en el registro la librería, la carga (es decir, se autoinfecta) y a continuación vuelve a tomar un nuevo snapshot analizando las diferencias.

  • DumpCore
    Programa que permite detectar un sistema infectado por cualquiera de los miembros de la familia de malware CoreFlood. Estos "graciosos" bichitos se dedican a capturar todos los accesos a diferentes páginas y guardar un registro de los usuarios/passwords utilizados en ficheros que se encarga de cifrar y remitir a sus autores. Lo verdaderamente interesante de esta herramienta es que resulta capaz de descifrar el contenido de estos ficheros.

Recomiendo echar un vistazo al site que utiliza para liberar la mayor parte de su trabajo, no tiene desperdicio.

Y por último, y mediante la lista de correo bugtraq, llega a mis manos un paper escrito por Piotr Bania. A lo largo del documento el autor revela un nuevo método para desempaquetar y eludir las técnicas de anti-debugging utilizadas por la mayoría de malware habido y por haber.

Malos tiempos para los malos ;-)