Herramientas detectoras de

Malware

Introducción

El análisis de malware es el estudio o proceso para determinar la funcionalidad, el

origen y el impacto potencial de una muestra determinada de malware, como un virus, un
gusano, un troyano, un rootkit o una puerta trasera. El malware o software malicioso es
cualquier software de ordenador destinado a dañar el sistema operativo del host o a robar
datos confidenciales de usuarios, organizaciones o empresas. El malware puede incluir
software que recopile información del usuario sin permiso.

Objetivos de aprendizaje

• Conocer nuevas herramientas de análisis de malware

• Comprobar la integridad de los archivos para detectar rootkits o malware

Requisitos

• Disponer de VirtualBox/VmwarePlayer en nuestro ordenador con los S.O. Ubuntu y

Windows 10

Documentación

➢ RootKitHunter:
https://docs.rockylinux.org/guides/web/apache_hardened_webserver/rkhunter/
➢ SpyHunter : https://www.spyhunter.com/
➢ sfc: https://docs.microsoft.com/en-us/windows-server/administration/windows-
commands/sfc

CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 1/7
Tel: 922-477200 https://cifpcesarmanrique.es/ 38016571@gobiernodecanarias.org
 Herramientas detectoras de
Malware

Desarrollo del ejercicio

1. Ubuntu: utilizar rkhunter

Rootkit Hunter es una herramienta en modo comando para comprobar la integridad de los
archivos de Sistemas Operativos GNU/Linux. También busca la existencia de rootkits conocidos,
puertas traseras, posibles exploits locales, archivos ocultos, permisos incorrectos establecidos en
binarios, cadenas sospechosas en el kernel y muchos más problemas de seguridad potenciales.

Un rootkit es un software malicioso (malware) que se oculta incluyéndose en archivos del

propio SO y que permite al atacante obtener privilegios de root en el sistema víctima.

La herramienta rkhunter los detecta calculando los resúmenes MD5 de los archivos actuales del
sistema Linux y comparándolos con los valores de los resúmenes de los archivos originales. Si el
resumen hash de alguno de estos archivos no coincide con el resumen del original, lo restaura por el
archivo original. Así se evita los posibles rootkits que se hubiesen instaurado en el sistema para pasar
desapercibidos.

1. En la máquina Ubuntu instalar el paquete rkhunter (si te pregunta al instalar postfix la

configuración, puedes poner “Sin Configuración”)
2. Actualizar las definiciones de rkhunter (--update) (Nota: Si obtienes un error al
intentar actualizar, investiga qué cambios debes hacer para conseguir que actualice).

3. Después de actualizarlo, ejecuta rkhunter –versioncheck para comprobar que la

versión instalada es la más reciente

CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 2/7
Tel: 922-477200 https://cifpcesarmanrique.es/ 38016571@gobiernodecanarias.org
 Herramientas detectoras de
Malware

4. Lanza un escaneo al sistema con rkhunter (--help verás la ayuda y la opción -c te sirve
para lanzar el escaneo a la máquina). Empezará el análisis mostrando información por
pantalla.
5. Una vez terminado el análisis, visualizar el archivo LOG con el detalle del proceso
(var/log/rkhunter.log)
6. Vamos a suponer que hemos tenido un incidente de seguridad en la máquina. Un usuario
malicioso ha conseguido arrancar una distro Live usando un pendrive USB.
Supongamos que luego nos ha instalado un troyano inverso que hace que nuestro
sistema Linux se conecte automáticamente con el suyo para que él pueda controlarlo
remotamente (un troyano RAT o Remote Administration Tool). La instalación del
troyano ha modificado el comando /bin/netstat
Para simular esta situación, primero haz una copia del programa /bin/netstat y
luego edita el programa /bin/netstat borrando algún carácter del fichero.
7. Realiza un nuevo análisis con la herramienta rkhunter y comprueba en el log la
detección de la situación que hemos simulado anteriormente.

8. Restaura el ejecutable netstat por el original para dejar el sistema correctamente.

CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 3/7
Tel: 922-477200 https://cifpcesarmanrique.es/ 38016571@gobiernodecanarias.org
 Herramientas detectoras de
Malware

2. Ubuntu: ClamAV

ClamAV es un antivirus Open Source que está disponible para GNU/Linux. Viene sin
interfaz de usuario por defecto, porque inicialmente se creó para ejecutarse desde línea de
comandos pero se le puede añadir el ClamTk que es una interfaz visual del antivirus ClamAV.

1. Instalamos los paquetes clamav y clamav-freshclam

2. clamscan con la opción -h nos permite ver todos los parámetros disponibles para este
programa. Utiliza la opción para realizar un escaneo detallado.

3. Comprueba que junto con la instalación del antivirus se ha instalado el servicio

freshclam. Este demonio es un proceso autónomo que se ejecuta en segundo plano,
de manera que no necesita interacción por parte del usuario y se encarga de
mantener actualizada la base de firmas del antivirus.

4. Comprueba desde el Monitor de Tareas de Ubuntu que el servicio anterior se está

ejecutando.

5. Si quisiéramos mantener el antivirus funcionando como servicio en tiempo real,

debemos instalar el paquete clamav-daemon Instálalo y luego comprueba que se
está ejecutando utilizando la dos mismas formas anteriores.

6. Aunque no es necesario, también dispone de una interfaz gráfica. Para ello debes
instalar el paquete clamtk Después de instalarla, realiza un escaneo de la carpeta
boot u otra que consideres adecuado.

CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 4/7
Tel: 922-477200 https://cifpcesarmanrique.es/ 38016571@gobiernodecanarias.org
 Herramientas detectoras de
Malware

CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 5/7
Tel: 922-477200 https://cifpcesarmanrique.es/ 38016571@gobiernodecanarias.org
 Herramientas detectoras de
Malware

Windows: SFC

En Windows podemos utilizar el comando SFC (System File Checker - Comprobador de

archivos de sistema) es una utilidad creada de la mano de Microsoft a través de la cual podremos
realizar un examen detallado en los archivos de nuestro sistema para detectar fallos o errores posibles.
El comando SFC analiza los ficheros que tenemos viendo las versiones disponibles y así comprobar si
se ha sobrescrito alguno pudiendo con ello proceder a recuperarlo.

1. Desde una consola de comandos lanza la orden necesaria para ver la ayuda de la utilidad SFC

2. Entre las opciones disponibles, ejecuta la que examina todos los archivos protegidos del sistema
operativo y repara los dañados.
3. Hay multitud de aplicaciones antimalware para Windows. Vamos a probar SpyHunter de entre
las más conocidas. Haz la descarga desde su página oficial. Muchas webs y fabricantes, suelen
añadir el código hash o resumen del programa descargado para comprobar que no haya sido
modificado o descargado de un sitio incorrecto. Obtén el código SHA256 del programa y
comprueba que sea:
87996cc12b3919fb370a67e45b037e0b75f1de66df8afcca060f0ac8e3464910

CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 6/7
Tel: 922-477200 https://cifpcesarmanrique.es/ 38016571@gobiernodecanarias.org
 Herramientas detectoras de
Malware

4. Otra comprobación que debemos realizar siempre antes de instalar un programa en nuestra
máquina, es pasarle un antivirus. Aparte del que tengamos instalado en nuestra máquina, la
mejor opción es subirlo a algún antivirus online por la ventaja de que el archivo será
comprobado por multitud de motores antivirus diferentes. Utiliza Virustotal por ejemplo para
comprobar este programa.
5. Con los pasos 3 y 4, nos hemos asegurado que el programa a instalar está limpio. Procede a
realizar la instalación y luego realiza un análisis del sistema.

CIFP César Manrique. Av. Príncipes de España, 5, 38010. S/C de Tenerife 7/7
Tel: 922-477200 https://cifpcesarmanrique.es/ 38016571@gobiernodecanarias.org