Herramienta de análisis de malware.

Se trata de Zero Wine una herramienta bajo licencia GLP v2 para analizar dinámicamente el comportamiento del malware. Esta herramienta basa su funcionamiento en cargar el malware con Wine en una jaula virtual y recoge la información sobre los APIs llamados por el malware. La salida generada por Wine (usando la variable de entorno de eliminación de errores WINEDEBUG) pertenece a las llamadas de las API usadas por el malware. Con esta información, se analiza el comportamiento del malware.

Se distribuye el Zero Wine en una imagen de la máquina virtual QEMU con un sistema operativo Debian instalado. La imagen contiene software para cargar y para analizar el malware y para generar los informes basados en la información recopilada (este software se almacena en /home/malware/zerowine). Para correr Zero Wine se utiliza un script que carga la maquina virtual y lanza un servicio web en el puerto 8000 en dicha maquina. Para enviar archivos a analizar se utiliza la aplicación web que corre en el servidor web de la maquina virtual.

Existe una versión mejorada de este proyecto se llama Zero Wine Tryouts basado en el mismo motor pero con mejoras en el comportamiento y más opciones.
Es una excelente herramienta para analizar malware ya que nos permite ver todas las acciones que ejecuta el malware en el sistema.

Más información y descarga de Zero Wine:
http://zerowine.sourceforge.net/

Más información y descarga de Zero Wine Tryouts:
http://zerowine-tryout.sourceforge.net/

2 comentarios en “Herramienta de análisis de malware.

  • el mayo 28, 2010 a las 9:57 am
    Permalink

    Por fín una herramienta de análisis de malware gartuita y de código abierto.

    La única pega es que , por lo que veo, sólo analiza archivos, y no todos los archivos de un equipo o varios equipos dados como hace la herramienta Malware Radar (es de pago).

    Saludos.audea.com

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: