|
Título: Como funcionan los malwares? Publicado por: lucas25cba en 8 Octubre 2012, 22:36 pm Espero no ser baneado con esta pregunta (como lo he sido en otros foros que alegan que soy provirus :o).
¿Conocen algun sitio interesante para aprender como funcionan los malware en general (mas particularmente los virus y los troyanos)? He googleado y aparte de la informacion dada por wikipedia que la veo replicada en varias paginas y sirve solo a fines de definicion y taxonomizar las categorias de malware he encontrado varias pero no me satisfacen.... (por ejemplo: como crear un virus: hacer un .bat y poner dentro format c:, a mi entender dista mucho de ser un virus). Ojo, tampoco tengo interes en las paginas que digan: "descargue su troyano aca para mandarselo a su vecino", mi interes es mas bien tecnico. Igual les agradeceria si pueden ayudarme con las siguientes dudas: Tengo una PC con dos particiones, en una de ellas vive Windows 7 y en la otra Ubuntu 12.04. En Ubuntu instale VirtualBox y tengo como sistema invitado Windows XP. La intencion de tener virtualizado Windows XP es usarlo como laboratorio y ver efectos de virus y troyanos. Teniendo en cuenta este escenario tengo dos dudas: 1- Que opinan sobre malwares que pasen de sistema invitado al anfitrion. Puede darse que eso, teniendo en cuenta que son dos sistemas operativos distintos (Windows virtualizado sobre Linux). 2- Supongamos que dejo infectar Windows XP (y quedo tranquilo que Ubuntu no va a ser dañado). Por lo poco que se, hay virus que se alojan en la MBR. Reinicio la PC y entro a Windows 7. ¿Puede ese virus alojado en la MBR infectar Windows 7? Desde ya muchas gracias! Título: Re: Como funcionan los malwares? Publicado por: MCKSys Argentina en 9 Octubre 2012, 04:09 am ¿Conocen algun sitio interesante para aprender como funcionan los malware en general (mas particularmente los virus y los troyanos)? La mayor fuente de viruta con sources que conozco la han cerrado por temas legales: http://vx.netlux.org/index.html (http://vx.netlux.org/index.html). Aun cuando han bajado el site, puedes descargar el contenido por torrent (ojo, no he verificado esta descarga!!): http://thepiratebay.se/torrent/7066921/Vx_heavens_collection(all) (http://thepiratebay.se/torrent/7066921/Vx_heavens_collection(all)) Tengo una PC con dos particiones, en una de ellas vive Windows 7 y en la otra Ubuntu 12.04. En Ubuntu instale VirtualBox y tengo como sistema invitado Windows XP. La intencion de tener virtualizado Windows XP es usarlo como laboratorio y ver efectos de virus y troyanos. Teniendo en cuenta este escenario tengo dos dudas: 1- Que opinan sobre malwares que pasen de sistema invitado al anfitrion. Puede darse que eso, teniendo en cuenta que son dos sistemas operativos distintos (Windows virtualizado sobre Linux). 2- Supongamos que dejo infectar Windows XP (y quedo tranquilo que Ubuntu no va a ser dañado). Por lo poco que se, hay virus que se alojan en la MBR. Reinicio la PC y entro a Windows 7. ¿Puede ese virus alojado en la MBR infectar Windows 7? Opino que si usas VMWare 8 no tendrás inconvenientes, pues los problemas de "escape" al host que hubo fueron arreglados. Es mas, hasta donde sé, ahora es bastante complicado engañar al hypervisor para poder llegar a salir al host. Por el 2: Si infectan la VM, no hay problemas (bueno, no DEBERIA ;D). Sea lo que sea que infecte, no deberia poder salir a la maquina host. De todas formas, ayuda mucho que afuera este un linux... En el caso en que pasara, creo que si la viruta infectara el MBR, lo mas probable es que infecte sistemas Windows, aunque no hay nada que impida que sea para linux tambien. Saludos! EDIT: Una pagina que tiene algunas cosas: http://z0mbie.daemonlab.org/ (http://z0mbie.daemonlab.org/) ;D Título: Re: Como funcionan los malwares? Publicado por: Иōҳ en 13 Octubre 2012, 06:09 am Para poder infectar la MBR del Host, primero tiene que escapar del Guest. La máquina virtual emula todo el "proceso" de una máquina física, desde los chequeos de la bios, hasta el booteo leyendo la MBR, al menos Bochs trabaja de esa manera, así que imagino que VMWare debe ser "igual".
Igual Fly puede decirme si me equivoco (o preguntar a tus bros jejeje). Entonces para empezar a analizar malware de alto calibre como lo que has mencionado, primero debes quitar cualquier "conexión" con el Host, desactiva el VMWare Tool, y la Red, luego de eso ya empezar el análisis, siempre afuera de la virtual debe haber un entorno Unix, lo más común es que tengas un Linux, pero bueno es cosa de costumbres, eso si preferiblemente si el malware de alto calibre no tengas un windows afuera. Ahora como dijo Fly, no hay nada que impida (si es que escapa del Guest) que también te infecte por ejemplo un Linux (DeepBoot, de tu brodher Nico, Fly la eko del año pasado :P) Y con lo que vimos este año sobre VGA Persistens Rootkits ufa eso si que es acojonante, claro todo eso si escapa del Guest :P. Saludos, Nox. Saludos, Nox. Título: Re: Como funcionan los malwares? Publicado por: lucas25cba en 13 Octubre 2012, 09:49 am O sea que cuando elegi VirtualBox fue una decison desafortunada para lo que quiero?
Digo, por lo que me comentan VMWare parece mas "carcelero" a la hora de evitar que se escapen malwares. Título: Re: Como funcionan los malwares? Publicado por: Elemental Code en 14 Octubre 2012, 06:03 am mmm por lo que entendi te estan diciendo dos cosas.
1.- Hiciste bien que la virtualbox este corriendo desde LINUX y no windows. 2.- CORTA toda conexión entre la virtualbox y el linux real (herramientas de transferencia, unidades virutales, red, etc). Eso es lo que entendi yo :P Título: Re: Como funcionan los malwares? Publicado por: Иōҳ en 14 Octubre 2012, 20:44 pm Yo siempre he usado VMWare, así que le tengo más confianza, no puedo hablar mucho al respecto de VirtualBox porque nunca lo he usado, pero con respecto a emulación de hardware, VMWare si es uno de los mejores, y para lo que yo hago reversing me va de maravillas (=
Saludos, Nox. Título: Re: Como funcionan los malwares? Publicado por: 0xDani en 15 Octubre 2012, 18:47 pm La mayor fuente de viruta con sources que conozco la han cerrado por temas legales: http://vx.netlux.org/index.html (http://vx.netlux.org/index.html). Aun cuando han bajado el site, puedes descargar el contenido por torrent (ojo, no he verificado esta descarga!!): http://thepiratebay.se/torrent/7066921/Vx_heavens_collection(all) (http://thepiratebay.se/torrent/7066921/Vx_heavens_collection(all)) Opino que si usas VMWare 8 no tendrás inconvenientes, pues los problemas de "escape" al host que hubo fueron arreglados. Es mas, hasta donde sé, ahora es bastante complicado engañar al hypervisor para poder llegar a salir al host. Por el 2: Si infectan la VM, no hay problemas (bueno, no DEBERIA ;D). Sea lo que sea que infecte, no deberia poder salir a la maquina host. De todas formas, ayuda mucho que afuera este un linux... En el caso en que pasara, creo que si la viruta infectara el MBR, lo mas probable es que infecte sistemas Windows, aunque no hay nada que impida que sea para linux tambien. Saludos! EDIT: Una pagina que tiene algunas cosas: http://z0mbie.daemonlab.org/ (http://z0mbie.daemonlab.org/) ;D Conoces mas paginas sobre malware? No encuentro nada :-\ Saludos. Título: Re: Como funcionan los malwares? Publicado por: MCKSys Argentina en 15 Octubre 2012, 18:53 pm La ultima que puse (http://z0mbie.daemonlab.org/ (http://z0mbie.daemonlab.org/)) tiene muchos links en ella a otros sites interesantes...
Saludos! |