Creando un "Virus" educativo - BoomerNiX

martes, 4 de diciembre de 2018

Creando un "Virus" educativo

En el post de hoy quiero mostrar lo que puede ser un “virus” de lo más sencillo por dentro, se trata de un código malicioso destinado a una máquina Windows XP, para ello ‘jugaremos’ con Batch, para que sea fácil de entender.

Un virus lo que buscará es alterar el funcionamiento de un sistema con fines maliciosos (el código variará según lo que se quiera hacer). Puedes comprobar los distintos tipos de Malware que existen.

El post tiene un fin educativo, y ya sabéis para correr, primero tendremos que saber andar… ¿Qué quiero decir con esto? En primer lugar, para protegernos, necesitamos saber qué hacen los malos, y que para que un código malicioso funcione en la actualidad, los cibercriminales tienen en cuenta muchas otras cosas, como puede ser evadir el antivirus, complicar que se analicé la muestra de código cuando la detecten, etc. Pero desde luego ese no es el objetivo.

Para seguir necesitamos una máquina virtual Windows XP, y tener algún snapshot previo, para volver al estado anterior a ejecutar el archivo que vamos a crear. La idea es la siguiente, crear un script .bat que al ejecutarlo genere un archivo y se cree un link al menú de inicio de Windows, así cuando el sistema operativo inicie, nuestro código se ejecutará con él.

Aquí vamos a hacer que el código que se al ejecutarse nos muestre un mensaje y apague el PC a los 30 segundos de iniciarse (para que nos dé tiempo a cancelarlo), pero se podría apagar nada más iniciar y sin ningún aviso. Nota: Para cancelar la acción ejecuta en línea de comandos shutdown -a.

El código es muy sencillo, y se puede ver a continuación:


La primera línea cancela el echo, así no se mostrará nada. Acto seguido creamos el fichero que ejecutara el shutdown y cambiamos sus atributos con attrib, lo ocultamos (+h) y le establecemos el atributo de sistema (+s).

Para continuar, creamos un script .vbs en la carpeta temporal y le asignamos un nombre aleatorio (%RANDOM%). Vamos a ver qué hace este script:

  1. La primera línea después de crear el fichero, proporciona acceso a los métodos Shell del SO.
  2. Las siguientes líneas crean el enlace al menú de inicio de Windows.
  3. Se ejecuta el script, sin visualizar el símbolo del sistema: cscript /nologo %SCRIPT%

Finalmente se eliminan el fichero que se ha ejecutado, y el script temporal, el que ejecuta shutdown permanecerá en la máquina oculto.

A continuación, lo probamos, en la siguiente imagen, podemos ver que no tenemos nada en el inicio del sistema:


Si ejecutamos el script “virus.bat”, vemos que el archivo desaparece, pero no apreciamos nada más a simple vista. Si comprobamos el inicio de Windows, ahora está el archivo Arranque:


Podemos ver el archivo infectado.bat y sus atributos de la siguiente manera:


Por último, si reiniciamos el sistema operativo, al entrar vemos que nos indica que el ordenador se apagará en 30 segundos (si fuera el reinicio automático, el usuario del PC no podría iniciar su sistema operativo ...):


Hasta aquí llegamos, para seguir aprendiendo, lo mejor es que tengas tus máquinas virtuales y analices las muestras de malware que existen por Internet. Os recomiendo el libro: practical malware analysis.

No hay comentarios:

Publicar un comentario