Dentro del análisis de Malware que estamos recorriendo y antes de meternos en el análisis de los nuevos elementos maliciosos que están surgiendo, vamos a evaluar el comportamiento de los Troyanos de toda la vida. Aunque evidentemente los podemos considerar como una tecnología en desuso con respecto a otros, no por ello han desaparecido totalmente y por lo tanto veremos la respuesta de nuestro Windows Vista y la forma de detección de los mismos.
Para la prueba utilizaremos como juguetito el “DuckToy”. Este elemento presenta el típico comportamiento de los Troyanos de toda la vida en el que el proceso de infección, pasa por copiarse a nuestro sistema, abrir un puerto de escucha para las peticiones del atacante y realizar cambios en el registro para que el proceso se active en la carga de la sesión del usuario. En esta circunstancia el proceso se cargará con el nombre “Explorer.exe”. Para este tipo de comportamiento tendremos en cuenta una serie de los elementos incorporados por Windows Vista: UAC, Firewall y Windows Defender.
La ejecución del Troyano requiere del uso del privilegio del Administrador, por lo que lo ejecutamos con elevación de Privilegios. El primer resultado visible nos lo alerta el Firewall, indicándonos que una aplicación Server está intentado abrir una nueva conexión en la máquina, cosa que aún así permitimos para evaluar la siguiente barrera de defensa: Windows Defender.
Fig. 1.- Detección amenaza
El sistema de Windows Defender aunque no constituye en sí misma una herramienta Antivirus en esencia si es capaz de detectar determinado software malicioso. En esta circunstancia detecta la firma del DuckToy como una aplicación de Acceso Remoto. El sistema detecta además un cambio en el comportamiento de ejecución de aplicaciones.
Fig. 2.- Análisis de la traza
El explorador de Software que incorpora Windows Vista nos ofrece la información necesaria para detectar la ruta de ejecución de la aplicación y la forma de arranque de la aplicación desde el registro del sistema.
Fig. 3.- Explorador de Software
Si analizamos el historial de Windows Defender encontraremos las trazas del elemento malicioso detectado, así como las medidas que hemos aplicado para cada circunstancia. Para un análisis de amenazas y comprobar si es detectado por las herramientas antimalware de Microsoft os recomiendo la página de Security Intelligent Report, donde nos detallan el tipo de amenaza al que nos enfrentamos y desde cuando se detecta esta amenaza, entre otras posibilidades.