Análisis de malware

Los 13 empaquetadores más populares utilizados en malware

26 de marzo de por Mateo Jones

El malware puede causar estragos en prácticamente cualquier sistema y los empaquetadores ayudan a que el malware esté un paso por delante del software de seguridad . ¿Pero qué hacen exactamente los empacadores? ¿Cómo se pueden detectar? Y, por último, ¿cuáles son algunos de los empaquetadores de malware más populares que se utilizan en la actualidad?

Responderemos estas preguntas y más en este artículo. Pero primero, echemos un vistazo más de cerca a los empacadores y cómo funcionan.

¿Qué es un empaquetador de malware?

Durante muchos años, los envasadores se utilizaron por motivos completamente inocentes. A menudo conocido como «empaquetador en tiempo de ejecución», este software comprime archivos y luego los descomprime cuando un programa o archivo está listo para ejecutarse.

A medida que avanzó la tecnología, este tipo de compresión del tamaño de los archivos se volvió menos necesaria. No obstante, los empaquetadores todavía se utilizan hoy en día, principalmente para archivos de malware.

En esencia, un empaquetador de malware es una herramienta que se utiliza para enmascarar un archivo malicioso. Los empaquetadores pueden cifrar, comprimir o simplemente cambiar el formato de un archivo de malware para que parezca algo completamente distinto. El proceso de compresión o cifrado del empaquetador lleva el archivo desde su código original a un nuevo estado mediante técnicas de ofuscación probadas y verdaderas.

Como resultado, el malware puede permanecer en un sistema sin ser detectado por el software antivirus, los productos antimalware y otro software de seguridad, dañando la integridad de su sistema y la seguridad de sus datos. Por eso es tan importante comprender cómo se pueden utilizar los empaquetadores en el malware.

Sin embargo, cada empacador funciona de manera un poco diferente. Necesitará saber un poco sobre algunos de los empaquetadores más populares utilizados en malware para poder detectarlos en su propio sistema.

Los 13 empaquetadores más populares utilizados en malware

Es importante reiterar que los empaquetadores no son inherentemente maliciosos; son simplemente una herramienta utilizada para hacer que cierto malware sea más efectivo al ser más difícil de detectar.

Para proteger su sistema del malware y comenzar a aplicar ingeniería inversa al código malicioso, necesitará saber qué tipo de empaquetadores se utilizan con mayor frecuencia en el malware. Aquí están los 13 empaquetadores más populares utilizados en malware en la actualidad.

UPX

UPX es la abreviatura de «Ultimate Packer for Executables». Utiliza un algoritmo de código abierto que no requiere memoria adicional del sistema para la descompresión.

El protector del enigma

Como la mayoría de los empaquetadores, The Enigma Protector se comercializa para personas y empresas que desean proteger sus archivos contra la piratería. No obstante, The Enigma Protector se usa comúnmente para ofuscar malware.

MPRENSA

MPRESS fue diseñado originalmente para comprimir archivos y disminuir los tiempos de inicio de las aplicaciones. Si bien este software gratuito es extremadamente útil para la compresión normal de archivos, también es de fácil acceso para los piratas informáticos y otros creadores de malware.

Empaquetador exe 2.300

Exe Packer 2.300 es un software gratuito estándar para la compresión y descompresión de archivos. Dado que existe desde hace años, Exe Packer 2.300 es uno de los empaquetadores más populares para la ofuscación de archivos maliciosos.

ExeStealth

ExeStealth es una herramienta que cifra archivos para evitar su detección y piratería. Diseñado por WebToolMaster, este software gratuito es fácil de implementar y es una de las mejores herramientas anti-piratería del mercado, lo que también lo hace eficaz para ocultar códigos maliciosos en su sistema.

Morfina

A diferencia de la mayoría de los otros empaquetadores, Morphine incluye su propio cargador PE, que permite a los usuarios cifrar la salida de datos comprimidos. El motor polimórfico también se utiliza para crear descifradores de malware completamente únicos.

Themida

Themida fue desarrollado por Oreans para proteger las aplicaciones de Windows de los piratas informáticos. Desafortunadamente, también se puede utilizar para cifrar archivos maliciosos y complicar los intentos de realizar ingeniería inversa al malware.

MAULLAR

MEW se utiliza principalmente para la compresión de archivos de malware más pequeños utilizando el algoritmo LZMA. Aunque fue diseñado para archivos pequeños, se ha actualizado con el tiempo para que también pueda ocultar archivos de malware más grandes.

FSG

El sencillo y gratuito software FSG comprime archivos tanto pequeños como grandes. Si bien es popular y se usa comúnmente para ocultar código de malware, también es relativamente sencillo descomprimirlo a través de un bucle de descompresión que escribe los datos en el destino final.

PESpin

PESpin comprime el código de Windows usando MASM. Protege los archivos contra parches y desensamblajes, lo que lo convierte en un recurso popular para los autores de malware.

Andrómeda

Si bien Andromeda se refiere a una botnet que existe desde, también es un empaquetador personalizado. Los empaquetadores personalizados son especialmente peligrosos porque no es tan sencillo realizar ingeniería inversa en ellos.

VMProtect

VMProtect es muy popular porque puede cifrar una amplia gama de archivos, incluidos archivos ejecutables, controladores y bibliotecas de enlaces dinámicos. Cuando se abre una aplicación cifrada por VMProtect, el empaquetador no descifra nada; en cambio, se ejecuta en un código virtualizado.

obsidio

Obsidium funciona para aplicaciones de Windows de 32 y 64 bits. Este software es capaz de cifrar, comprimir y ofuscar malware.

Cómo detectar empaquetadores de malware

Dado que la mayoría de los empaquetadores de malware dificultan la búsqueda y el análisis de códigos maliciosos, puede ser necesario utilizar un script diseñado específicamente para la detección de empaquetadores. Afortunadamente, hay varias herramientas de detección de empacadores disponibles. Estas son algunas de las mejores herramientas para identificar empaquetadores de malware:

Además de identificar los empaquetadores utilizados en el malware, también querrá encontrar formas de configurar un entorno virtual y analizar el comportamiento del malware. Aquí hay una guía útil para empaquetadores de malware mediante ingeniería inversa.

Conclusión

Los empacadores no son inherentemente malos. De hecho, son una de las muchas soluciones de seguridad que pueden ayudar a proteger archivos, datos y aplicaciones. Sin embargo, también son un gran recurso para los desarrolladores de malware. Ofuscan el código de los archivos, lo que dificulta mucho la localización y el análisis de malware en su sistema. Algunos empaquetadores utilizan algoritmos comunes, mientras que otros utilizan código personalizado para comprimir y/o cifrar archivos.

En cualquier caso, cuanto más sepa acerca de los empaquetadores populares utilizados en el malware, más preparado estará para identificar y descomprimir el malware en su propio sistema.

Fuentes