Español | English
rss facebook linkedin Twitter

Estadísticas de PE packers


La imagen que aparece es una estadística de la utilización de packers en los últimos 5000 binarios PE ejecutados por nuestro servicio de análisis automático de código malicioso. La utilización de packers es bastante común en el código malicioso, principalmente con dos objetivos: intentar pasar desapercibidos, y ofuscar su contenido, dificultando el análisis del analista.

Como se aprecia en la imagen, el packer más utilizado es UPX, de libre distribución, y aunque existen multitud de variantes modificadas de UPX, el más usado es el UPX normal. ¿Qué razón puede tener esta elección, puesto que existen multitud de packers tanto libres o comerciales?

Creemos que no es por que sea libre/gratuito, puesto que es posible bajarse de las redes P2P fácilmente un packer comercial (aunque muchas veces son a su vez malware), sino para intentar pasar desapercibidos, puesto que si se usa un packer menos utilizado, es muy fácil para los antivirus, antimalware o similares detectar un binario con ese packer extraño.

De todas maneras, es una suposición, así que cualquier otra idea que tengáis, no dudéis en comentarla. 

1 comentario:

eduardo abril dijo...

Mmm ... yo creo que simplemente no intentan ocultar el código, sino hacer "más ligero" el ejecutable. Al fin y al cabo, si escribes un virus/troyano nuevo ningún antivirus, a no ser que lo hagas horriblemente mal, lo va a detectar.

Si usas algo tipo execryptor o themida, que el unpacker automático no puede romper, entonces el nuevo e indetectable virus cantará como "ejecutable raro empaquetado y posiblemente peligroso".

¿Para qué complicarse la vida?

Saludos,
Eduardo.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login