ANALISIS DE MALWARE

Caterine Herrera Raigosa

Grupo: 18566

Instructor

Fernando Alonso Quintero

Administración de Redes

Centro de Servicios y Gestión Empresarial

Medellín

2010
 INTRODUCCION

Este manual fue realizado con el fin de dar a conocer sobre los malware, la manera de
cómo se puede desinfectar un computador, y también de cómo infectarlo.

Para realizar esto se utilizaron varias herramientas como virus total para analizar que tipo
de malware y con que antivirus desinfectar, entre otras más.
PROCESO

Instalar una maquina virtual Windows xp

Descargar el virus
Analizar el malware con un analizador online

VIRUS TOTAL

Es un sitio web que presta el servcio de análisis de malware, totalmente gratis, este tiene
mas 41 antivirus, los cuales cuando uno sube el archivo le dice cuales antivirus lo
detectan y lo pueden desinfectar.

BIFROST 1.2

Es un troyano que utiliza una herramienta indetectable por el mismo programador "ksv".
Esta edición tiene un poderoso método para saltar los firewalls, incluyendo a los mas
importantes como Zone Alarm y Outpost. Tiene un codigo nuevo y limpio y un servidor
muy configurable. Y sigue siendo el bifrost
Lastimosamente ya algunos antivirus la detectan, el motivo es porque alguien compró
esta versión y la público, descuiden siempre sucede
xD. Pero se lo puede dejar totalmente indetectable modificando los offset+themida

1. Subimos el archivo en este caso el Bifrost, enviar archivo.

2. Cuando termina de analizar nos da unos datos con un link, damos clic sobre èl.

3. Cuando damos sobre el link nos muestra todos los antivirus que este maneja, y
nos dice que es un troyano, pero este nos da un resultado que dice 35/40 quiere
decir que solo cinco antivirus no lo detectan. Lo podemos observar en la siguiente
imagen.
4. Ahora procedemos a ejecutar el virus

4.1. Nos aparece unos términos de licencia, damos I agree

 4.2. Luego nos aparece esta consola

Assigned Name: En esta casilla sale el Nombre de la Victima, esto es útil para diferenciar
a las distintas personas que tengamos infectadas, también saldrá un Banderita

IP: Esta casilla muestra lógicamente la dirección IP de la Victima. Muestra dos porque una
es la Ip Interna y la otra es la IP publica y se encuentran separadas por una /.

Computer / User Name: En esta casilla veremos el Nombre del Computador de nuestra
Victima, y el Usuario Activo

Version: Muestra la Versión del Server Instalado en la PC de nuestra Victima

C: Nos Muestra si la PC de la Victima Posee una Webcam.

E: Nos Muestra si la PC de la Victima tiene instalada la extensión del Bifrost.

Citar
En estas dos ultimas (C y E, Si aparece una x significa que no se verificó si hay webcam o
una extencion. Si aparece una X significa que sí posee una webcam o extensión. Si
aparece un - significa que la PC no posee una webcam, o extensión)

Idle: En el momento no se que sea esta Opción xD he buscado, y lo único que he

encontrado es que es algo de Phynton

Ping Ojo esto es importante, si el Numero es muy alto, aumenta a medida que utilizamos
múltiples Funciones del Bifrost, y si es muy alto podríamos llegar a perder la conexión con
nuestra Victima. Entre mas bajo sea el Numero mucho mejor.

DESINFECTAR

5. Luego de estar infectado se descarga uno de los antivirus que lo detectaron y se

coloca ha analizar.

6. Se puede observar que el nod32 ha encontrado 5 infiltraciones, para desinfectar la

maquina se despliega y se da eliminar. Luego ejecutar.
7. Dice que ha desinfectado 5 objetos.
 CONCLUSIONES

Cada que descargue archivos ya sea del correo o de la web, colocarlo a analizar
con el antivirus.
Cada que inserte una memoria USB analizarla con el antivirus
Cada que descargue archivos fijarse muy bien que tipo de archivo o extensión es.