El siguiente articulo lo esribo por experiencia propia que he tomado en mis tiempos libres y la investigacion que he realizado desde que me asente en el mundo del malware.
Video donde se da una pequeña introduccion al tema de los Crypters.
Quien de nosotros no tenemos en nuestra PC un software que nos proteja de los programas malintencionados,que quieran modificar,espiar o dañar nuestro equipo,a ese software protector le llamamos antivirus.
Bueno el tema pricipal aqui no son los antivirus,querias conversarles un poco de lo que son los Cypters.
Antivirus
Es un tipo de software que detecta el malintencionado funcionamiento de los archivos(.bat,.exe,.vbs,.dll) que se encuentran en nuestra PC.
Heuristica : La deteccion atraves de la heuristica se basa en comportamiento que tienen los archivos maliciosos,quiere decir que recopilar todos los movimientos que hace el archivo,por ejemplo :
Heuristica : La deteccion atraves de la heuristica se basa en comportamiento que tienen los archivos maliciosos,quiere decir que recopilar todos los movimientos que hace el archivo,por ejemplo :
- Autocopia : Si el archivo se copia a si mismo a otro lugar del disco duro de la PC.
- Inicio con el Sistema Operativo : Cuando el programa crea una regla en regedit.exe para que cuando la PC sea reiniciada,el virus automaticamente inicie despues del Sistema Operativo.
- Cuando trata de crear conexiones remotas,o se pone a la escuha de algun puerto para poder crear una conexion y enviar informacion de la victima.
Firma Digital : En este caso se compara una marca unica del archivo(virus) por cada una de las firmas quw estan almacenadas en la base de datos del antivirus.Al identificar que esa marca del archivo se encuentra en la Base de Datos del antivirus automaticamente se lo detecta como virus.
Es un software el cual su funcion es ocultar la verdadera identidad de los diferentes malware que podamos encontrar ya sea : virus,keyloggers,rat,troyanos.
FUNCIONES
¿Que es un compilador ?
Es un software que se encarga de traducir un codigo(programa) de un lenguaje de programacion, al lenguaje maquina el mismo que puede ser entendido por el hadware de la PC.
¿Que es un descompilador ?
Es un software que realiza el proceso contrario del compilador,traduce el lenguaje maquina a un lenguaje de alto nivel el cual puede ser mas entendible por el usuario.
Objetivos del encryptador:
- Evita la descompilacion del codigo,o por lo menos la hace mas complicada.
- Crear una aparencia falsa,para no ser detectado.
- Añadir nuevas funciones al archivo encryptado.
Los crypters constan de 2 partes :
Cliente: Se encarga de unir el Stub con el troyano,es decir se encarga de cubrir el troyano con el Stub.
Stub: Cubre al crypter para que el antivirus al analizar el archivo no analice el troyano,si no que analice el Stub.
Resultado Final:Se obtiene un archivo nuevo el cual no es detectado por los antivirus,por la razon que el stub recubre al troyano.
A continuacion vemos la diferencia de un Troano REAl encryptado y un TROANO NO ENCRYPTADO.
ANALISIS DE UN TROYANO NO ENCRYPTADO
ANALISIS DE UN TROYANO ENCRYPTADO
Ahora sabemos porque nuestra PC puede tener un virus aunque tengamos un buen antivirus y actualizado.
