Interpretación de resultados de una detección de virus

Iniciado por Drok3r, Febrero 25, 2018, 05:46:33 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Gran parte del tiempo cuando realizamos una búsqueda de virus o analizamos el sistema con el antivirus, nos encontramos con una detección de un virus o malware en general y no entendemos el resultado. Cuando se detecta un virus no sabemos qué clase de virus es, cuál es su daño dentro del pc, o si solo es una falsa alarma.
Con esta información sabrás a qué clase de virus o malware te enfrentas, el daño que este ha hecho en tu pc y lo que has perdido. (Ya te tomaron fotos desnudo)

Pero antes de poder interpretar, los resultados tenemos que comprender lo siguiente. Nos basaremos en un orden, el cual usan la mayoría de los Antivirus. Plataforma, Tipo, Nombre/familia y Variante.

1.- Plataforma.
La plataforma especifica el sistema operativo, arquitectura del virus y en algunas ocasiones especifica el lenguaje de programación en el que fue diseñado. Pero también la plataforma puede ser genérica, es decir sin una plataforma especifica.
Ejemplo:
– PHP
– Win32
– Win64
– Script
– Java

2.- Tipo.
El tipo es un elemento que indica el tipo de virus con el cual estamos infectados basándose en la actividad de dicho virus.
Ejemplo:
– Trojan
– Dropper
– Worm
– Spy
– Virus

3.- Nombre/familia
Evidentemente este elemento como su nombre lo indica, especifica el nombre del virus, o identifica la familia a la que dicho virus pertenece. Esto también dependerá del antivirus.
Ejemplo:
– Inf
– Q
– GT
– F
– gen

4.- Variante
Muchos virus o malware evolucionan, ya sea porque el creador incrementa sus funcionalidades o cuando el malware cambia partes de su código para evadir la detección o simplemente para aumentar o escalar los privilegios. Esta dependerá de la base de datos del antivirus.
Ejemplo:
– [SupS]
– [Tg]
– [Heur]
– [Adw]
– [Trj]

Ahora tomaremos por ejemplo el resultado de una detección de Avast.
Deteccion de virus en Avast



En la parte que dice "Infección" podemos visualizar la información del virus.
Win32:Dropper-gen[DRP]
Con esa información y retomando lo anteriormente mencionado tenemos lo siguiente:
Plataforma = Win32
Tipo = Dropper
Nombre/Familia = gen
Variante = DRP

Al saber que la plataforma es Win32 sabemos que es un virus que está diseñado para infectar a los sistemas Windows de 32bits. El virus es un dropper el cual cumple la función de conectarse a Internet y descargar software o complementos del mismo, por lo general es usado en troyanos para instalar keylogger o backdoors.
Con esta información sabemos que nos enfrentamos a un malware que descarga software que puede ser perjudicial, en la mayoría de los casos es software para publicidad.

Y con este método o información tendremos el conocimiento de a que virus nos estamos enfrentando o que virus ya nos infectó. Esto también es útil cuando uno hace analizáis en VirusTotal u otros servicios de análisis en línea, con la información sabremos si es un malware o una falsa alarma.

Como dato extra comparto el siguiente link de PandaSecurity, el cual contiene un glosario con definiciones técnicas relacionadas a los malware y antivirus para una mejor interpretación y más conocimiento.

PandaSecurityGlosario -> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuente(BLOG) -> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta