Mario Chilo IT Security Professional

Profesional en Ingeniería de Sistemas. Especialista en Tecnologías de la Información, Seguridad Informática y Data Recovery. Analista de virus informáticos y código malicioso. Experto en Tecnicas de Detección y Eliminación de Software Malicioso.

Un archivo autocomprimido ejecutable es un archivo EXE que ha sido comprimido y se ha añadido el algoritmo de descompresion para que el propio archivo EXE pueda descomprimirse por si solo.

Esto se parece bastante a como un virus infecta un archivo Ejecutable, en este caso el programa autocompresor comprime el EXE y añade su codigo.

La gran mayoria de Malwares y Aplicaciones no deseadas utilizan estan tecnicas, ya que de esta forma el tamaño del archivo disminuye y ademas es una forma de generar variantes de los malwares.
Imagemos que un creador de malwares, crea un troyano, el cual ha sido desarrollado en Delphi, el tamaño del archivo es de 1 MB, este archivo podria ser considerado que pesa mucho para ser transportado por correo o por la red. Aqui es cuando aparece un programa autocompresor y lo que hace es comprimir el archivo EXE, digamos a 500 Kb, con lo que el tamaño ha disminuido considerablemente menos y es mucho mas favorable para su envio por e-mail y por la red.

Ahora el Hacker que ha creado este troyano lo que quiere ademas de reducir su tamaño es generar variantes y que estas no sean detectadas por las casas antivirus. Es aqui que estos hackers cuentan con diversas aplicaciones de autocompresión como el UPX, ASPACK, Petite, Yoda, etc. De esta forma su programa original que pesaba 1 MB, ahora pesa la mitad aproximadamente y ademas se genera en forma automatica 30 a 40 nuevas variantes (solo con el simple hecho de haber ejecutado distintos programas autocompresores). Todo es generado con archivos BATCH, asi es que el Hacker en cuestion de minutos ha creado varias variantes de este bicho.
Ahora, como han podido darse cuenta es sencillo todo este proceso. La explicacion es que la gran mayoria de Antivirus trabajan en base a firmas, es decir necesitan contar con cada una de las muestras de Malwares para poder incluirlo en su Base de Datos. Algunos Antivirus han desarrollado tecnicas para identificar cierto patron, y algunos utilizan la heuristica para poder identificarlos. Pero la realidad es que la gran mayoria de antivirus no detecta estas variantes generadas por distintos autocompresores.
Ahora, el autocompresor ejecutable mas usado por los Hackers es el UPX. Pueden descargar la aplicacion desde su pagina web http://upx.sourceforge.net/

El comando para descomprimir un archivo autocomprimido ejecutable es:

UPX -d "NOMBRE DEL ARCHIVO"

0 comentarios:

Publicar un comentario