Analizar la actividad de un ejecutable

Noviembre 2016


Para complementar [ este articulo] y saber más acerca de la legitimidad de un archivo o proceso dudoso, es posible utilizar herramientas en línea que nos muestran las diferentes acciones que realizarán en el sistema. Estos sitios web permiten simular virtualmente la ejecución de un archivo sospechoso en el sistema, y proporcionan un informe detallando su actividad. La comprensión e interpretación de los resultados del análisis requerirá sólidos conocimientos del funcionamiento de Windows. Sin embargo, estas herramientas en línea son accesibles tanto a personas curiosas que desean tener una visión global de las acciones de un ejecutable, como a personas expertas que desean obtener información más detallada.

En lo que sigue, a modo de ejemplo analizaremos los resultados del análisis del archivo patch.exe hecho en el sitio web Anubis, para ilustrar los diversos campos de investigación que ofrece esta herramienta en línea.

Nota: este sitio, al igual que otras herramientas en línea, está en inglés.


Ejemplo: resultados del análisis del archivo patch.exe


1) Resumen - Summary:

En la parte inicial del informe, tenemos un breve resumen del análisis con un código de color que indica el nivel de peligrosidad de algunas modificaciones hechas en el sistema, evaluados por el sitio web.

Aquí tenemos:
  • Cambio de configuración de seguridad de IE: este cambio en el sistema ha podido afectar seriamente la seguridad de la navegación en la web. Evaluación del riesgo: circulo anaranjado
  • Modificación y destrucción de carpetas: El ejecutable modifica y destruye carpetas que no son temporales. Evaluación del riesgo: círculo rojo
  • Procesos generados: El ejecutable crea procesos durante su ejecución. Evaluación del riesgo: circulo amarillo
  • Actividad del registro: El ejecutable lee y modifica valores del registro. También puede crear y vigilar claves del registro. Evaluación del riesgo: circulo amarillo.


2) Tabla de contenido: Luego tenemos la tabla de contenido que resume las acciones del proceso patch.exe, así como los diferentes procesos creados o solicitados durante su ejecución.

En nuestro ejemplo, la tabla de contenido nos indica que la ejecución del archivo patch.exe ha activado la ejecución de estos archivos: evbmy.exe, oojrg.exe, wwry.exe, rssgwysf.exe, y cmd.exe

3) Información general relativa a Anubis:

En esta parte, tenemos información general relativa al sitio web:
  • El tiempo que tomo analizar el archivo
  • La fecha y hora de creación del informe
  • La razón por el que se termino el análisis
  • La versión del programa utilizado por el sitio


4) Actividad de la red - Network Activity:

Esta parte del informe nos informa acerca de las actividades relativas a la red, aquí Anubis detecta tentativas de conexión a la red en el puerto 53.

5) Patch.exe:

Aquí tenemos información relativa al archivo sometido a análisis:
  • Razón del análisis: archivo sometido a análisis.
  • Nombre del archivo: patch.exe
  • MD5: algoritmo que permite obtener la huella digital característica y única de una cantidad fija de datos de un archivo (función de hash)
  • SHA-1: otra función de hash
  • Tamaño del archivo
  • Línea de comando
  • Estado del archivo al terminar el análisis: aquí dead significa que el archivo ya no estaba activo, una vez terminado el análisis.
  • Código devuelto al final de análisis


6) Carga de enlaces dinámicos - Load-time Dlls:

Aquí, el informe nos informa sobre el llamado de funciones de archivos .dll hecho por el sistema, necesarios para el funcionamiento del virus, llamado de funciones realizado durante la compilación del código de este último.

7) Ejecución de enlace dinámico - Run-time Dlls:

Aquí, el informe nos muestra la importación de funciones de archivos .dll hecha por el ejecutable, otras funciones que necesitará para su funcionamiento.

8) Módulo de análisis del antivirus de Ikarus integrado a Anubis:

Aquí tenemos los resultados del análisis del antivirus integrado al sitio Anubis.

9) 2.a) patch.exe - Actividades del registro:
Los valores modificados del registro:

Aquí, el informe nos muestra las modificaciones realizadas por el virus en el registro del sistema. Aquí será necesario tener sólidos conocimientos del funcionamiento del registro del sistema para entender y diferenciar entre una clave agregada por el virus o modificada con el fin de afectar los parámetros de seguridad del sistema por ejemplo.

Claves de registro leídas:

Aquí, el informe nos muestra los valores de las claves leídas por el virus.
Claves del registro vigiladas:

Aquí son listadas todas las claves o valores del registro vigiladas en tiempo real por el virus.

10) 2.b) patch.exe - Actividad del archivo

Archivos creados: visibles aquí en los archivos temporales de Internet

Archivos leídos:

Aquí tenemos la lista de archivos que el virus ha podido ejecutar o leído el contenido.

Archivos modificados:

Aquí, tenemos archivos descargados por la infección, que los encontramos en archivos temporales de Internet.

En lo que sigue, tenemos tres módulos dándonos información sobre otros archivos o drivers solicitados por el virus durante su ejecución.

11) 2.c) patch.exe - Actividades del procesos:

Procesos creados:

Aquí son listados los archivos creados o solicitados por el archivo patch.exe

Luego el informe muestra información relativa a las acciones de los archivos creados o utilizados por patch.exe.

12) 2.d) patch.exe - Actividades de la red:

En esta parte, el informe muestra todos los nombres de dominio (contenido en el código del virus) probados. Si la respuesta es positiva, el servidor DNS convertirá esos nombres de dominio en direcciones IP, que el informe indicará.

Conexión HTTP:

Aquí, el virus verifica si las páginas a las que va a intentar conectarse existen. Si las páginas existen, y la conexión se lleva a cabo, el virus podrá "tranquilamente" comenzar a descargar nuevos archivos infectados sin que el usuario lo sepa.

Trafico TCP desconocido y Tentativas de conexión TCP:

Luego de haber detectado un intercambio de datos (aquí archivos .exe) con la red exterior. Anubis hace un resumen de las tentativas de conexiones TCP salientes en el puerto 80

13) 2.e) Patch.exe - Otras actividades:

Mutexes creados:

Aquí son listados los mutexes creados por el virus a fin de "regular" su actividad y evitar que varias de sus acciones se realicen al mismo tiempo, lo que podría ser perjudicial para su "buen funcionamiento" o incluso hacer que se cuelgue el sistema.

Esta parte corresponde al resumen de la gestión de excepciones, es decir, eventos inesperados o los que pueden perturbar el desarrollo normal de un proceso.

14) 3.Evbmy.exe: Ahora pasamos a la 2da parte del informe que nos informa acerca de las acciones realizadas por los archivos creados por el archivo patch.exe

Aquí, encontramos información general relativa al archivo evbmy.exe:
  • Razón del análisis:procesos iniciados por el archivo patch.exe
  • Nombre del archivo: evbmy.exe
  • Estado del archivo al final de la simulación: aquí alive significa que el proceso aun se está ejecutando al final del análisis.
  • Código devuelto al final del análisis


Luego, Anubis proporcionará información sobre los archivos hijos basados en los mismos criterios de análisis.

Limites de esta herramienta en línea


Estas herramientas en línea proporcionan valiosa información acerca de las acciones de un archivo, pero también tienen fallas, y podrán ser totalmente ineficaces en algunos archivos infectados sometidos a un análisis. Efectivamente, algunos archivos "inmunizados" son capaces de decidir si son ejecutados en entorno virtual o si son analizados, y en ese caso, el informe no ofrecerá información pertinente.

Un ejemplo de archivo capaz de contrarrestar este tipo de análisis es ilustrado por el dropper de Virut

En este ejemplo, el análisis no ha podido finalizar, por lo tanto será imposible analizar el comportamiento de algunos archivos modificados.

Otras direcciones


A continuación una lista no exhaustiva de sitios que ofrecen un servicio similar, proporcionando informes más o menos detallados y permitiendo analizar varios tipos de archivos:

Consulta también :
El documento «Analizar la actividad de un ejecutable» de CCM (es.ccm.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo siempre y cuando respetes las condiciones de dicha licencia y des crédito a CCM.