AntiFooling, simula que una máquina es virtual para que algunos malware no se ejecuten
AntiFooling es una sencilla pero útil herramienta hecha con AutoIt para simular que un sistema Windows es una máquina virtual, pero ¿para qué?. Pues hoy en día la mayoría del malware es analizado dinámicamente en máquinas virtuales y sandboxes, por lo que el software malicioso suele implementar medidas que lo detectan y detienen su ejecución en tal caso. Por lo tanto, si “engañamos” al malware para que crea que está en un entorno de análisis de este tipo podremos conseguir que tampoco se ejecute en nuestra máquina, obteniendo así un eficaz “antivirus”.
Por el momento, AntiFooling puede simular ser un sistema virtualizado con VirtualBox o VMWare, para lo cuál utiliza los siguientes aplicaciones:
Processes:
‘VBoxService.exe’ (VBOX)
‘VBoxTray.exe’ (VBOX)
‘VMwareUser.exe’ (VMWARE)
‘VMwareTray.exe’ (VMWARE)
‘VMUpgradeHelper.exe’ (VMWARE)
‘vmtoolsd.exe’ (VMWARE)
‘vmacthlp.exe’ (VMWARE)
Files:
@WindowsDir & ‘\System32\drivers\VBoxMouse.sys’ (VBOX)
@WindowsDir & ‘\System32\drivers\VBoxGuest.sys’ (VBOX)
@WindowsDir & ‘\System32\drivers\VBoxSF.sys’ (VBOX)
@WindowsDir & ‘\System32\drivers\VBoxVideo.sys’ (VBOX)
@WindowsDir & ‘\System32\vboxdisp.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxhook.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxmrxnp.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxogl.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxoglarrayspu.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxoglcrutil.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxoglerrorspu.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxoglfeedbackspu.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxoglpackspu.dll’ (VBOX)
@WindowsDir & ‘\System32\vboxoglpassthroughspu.dll’ (VBOX)
@WindowsDir & ‘\System32\VBoxService.exe’ (VBOX)
@WindowsDir & ‘\System32\VBoxTray.exe’ (VBOX)
@WindowsDir & ‘\System32\VBoxControl.exe’ (VBOX)
@WindowsDir & ‘\System32\drivers\vmmouse.sys’ (VMWARE)
@WindowsDir & ‘\System32\drivers\vmhgfs.sys’ (VMWARE)
@ProgramFilesDir & ‘\VMWare\VMware Tools\VMwareUser.exe’ (VMWARE)
@ProgramFilesDir & ‘\VMWare\VMware Workstation\VMwareTray.exe’ (VMWARE)
@ProgramFilesDir & ‘\VMWare\VMware Tools\VMUpgradeHelper.exe’ (VMWARE)
@ProgramFilesDir & ‘\VMWare\VMware Tools\vmtoolsd.exe’ (VMWARE)
@ProgramFilesDir & ‘\VMWare\VMware Tools\vmacthlp.exe’ (VMWARE)
Directories:
@ProgramFilesDir & ‘\Oracle\Virtualbox Guest Additions\’ (VBOX)
@ProgramFilesDir & ‘\VMWare\’ (VMWARE)
@ProgramFilesDir & ‘\VMWare\VMware Tools’ (VMWARE)
@ProgramFilesDir & ‘\VMWare\VMware Workstation’ (VMWARE)
Por el momento, añade sólo técnicas Anti-Virtualización, pero también se le puede hacer creer al malware que esta siendo debuggeado o emulado para prevenir su ejecución en equipos legítimos.
Descarga:
-Compilados x64 & x86: https://www.sendspace.com/file/rph4dh
-Source Code (AutoIt): https://www.sendspace.com/file/lvdx2x
Documentación:
-http://www.xylibox.com/2011/05/anti-vmware.html
-https://github.com/LordNoteworthy/al-khaser
Ver información original al respecto en Fuente:
http://www.hackplayers.com/2016/12/antifooling-simular-que-tu-maquina-es-virtual.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.