Saltar la navegación

Viendo lo oculto - Parte 2: El funcionamiento

El Funcionamiento del Virus

Partiremos de lo visto en el punto anterior.

Comprobamos que convertir un archivo en .exe nos permitía, al momento de extraerse (si ese era el propósito), iniciar uno o más archivos.

Como explicamos, esto se puede —y se ha— utilizado con fines maliciosos, como infectar dispositivos.

Veamos:

Transcripción del audio del video

Ahora, para abordar el funcionamiento, partiremos de lo visto en el punto anterior. Comprobamos que convertir un archivo en .exe nos permitía, al momento de extraerse (si ese era el propósito), iniciar uno o más archivos. Como explicamos, esto se puede —y se ha— utilizado con fines maliciosos, como infectar dispositivos.

Tal como se mencionó antes, al ejecutar el instalador se iniciaba el launcher (por decirlo así) del juego en cuestión. Este pretendía ser el programa oficial de instalación, que decidí representar como un .txt. Sin embargo, como vimos en el apartado del “escenario más usual (el oculto)”, había mucho más sucediendo en segundo plano.

Recordemos que el .exe, más allá de extraer la carpeta e iniciar el instalador del juego, también ejecutaba un archivo llamado prepararentorno.bat al momento de extraerse. Este archivo, en esta explicación, lo representamos como un .txt para poder leerlo. Qué es un .bat y por qué puede ejecutarse como programa lo explicaremos un poco más adelante. Por ahora, veamos qué hacía este archivo al ser ejecutado.

Análisis Paso a Paso del Archivo prepararentorno.bat

Lo primero que hacía este archivo era capturar la ruta donde se encontraba el .exe. ¿Por qué? Porque distintas personas podrían ejecutarlo desde distintas ubicaciones: el escritorio, la carpeta de descargas o una carpeta propia. Esto permite que el virus funcione sin importar dónde esté guardado.

Luego, el archivo establece una ruta de destino donde copiará el archivo malicioso. En este ejemplo, usé una ruta dentro de “Documentos” en una carpeta llamada CarpetaEjemplo, que se creará en el siguiente paso.
Quizás te preguntes cómo puede un archivo conocer el nombre de tu usuario o la estructura de tu PC. La respuesta está en la variable USERPROFILE, que Windows permite usar para referirse al usuario actual. De esta manera, el virus puede acceder a Documentos en cualquier dispositivo.

Después, el script copia el archivo batmalicioso.bat desde la ruta original hacia esta carpeta de destino (CarpetaEjemplo). Finalmente, lo ejecuta desde esa nueva ubicación.

Simulación: ¿Qué Vimos y Qué No?

Recordemos que, al ejecutar el .exe, lo único que vimos fue cómo se iniciaba un instalador de juego. Eso es lo último que ocurre en el archivo prepararentorno.bat: tras mover y ejecutar el archivo malicioso, espera unos segundos, y luego recién lanza el instalador del juego.

Ahora que entendimos lo que pasó con el archivo oculto, veamos qué hace el batmalicioso.bat.

¿Qué Hace batmalicioso.bat?

Este archivo, una vez ubicado y ejecutado en su carpeta destino:

  1. Verifica si se ejecuta con permisos de administrador. Si no es así, los pide y se reinicia con los permisos correctos.

    Esta es una razón clara de por qué no conviene dar permisos de administrador a programas no oficiales. Es esencial para el virus completar su proceso.

  2. Excluye la carpeta del análisis del antivirus.
    En este caso, usa Windows Defender, pero los virus más avanzados hacen esto mismo con otros antivirus. “Excluir” una carpeta significa que el antivirus no la escanea más, tal como ocurre con una carpeta de imágenes: si no la revisa, no detecta nada.

  3. Verifica si la exclusión fue exitosa.
    Si lo fue, muestra un mensaje como:
    "Virus Genérico instalado correctamente"
    Si no, lanza un error diciendo que se necesitan permisos de administrador.

    Como vimos, este paso puede estar condicionado para que no inicie el juego hasta que la infección esté completamente instalada.

  4. Termina el script.
    Se espera unos segundos y se lanza el instalador del juego. El usuario solo ve esto último.

¿Qué es un .BAT?

Un archivo .bat es básicamente un conjunto de órdenes automatizadas que Windows ejecuta en su terminal. Aunque puede sonar sospechoso, no siempre lo es. Muchos procesos útiles del sistema o instaladores oficiales también usan .bat para automatizar tareas complejas.

El problema es que, como vimos, pueden ser usados con fines maliciosos. Crear un archivo .bat es tan simple como escribir instrucciones en un .txt y luego cambiar la extensión del archivo a .bat. Ese texto ahora se ejecutará como si fuera un programa.

Ensamblando el Virus Final

Ahora vamos a ensamblar el pequeño virus de demostración. Para eso:

  1. Tomamos el archivo .exe (por ejemplo, InstaladorGTA5.exe)

  2. Le añadimos una contraseña, lo que impide que la PC o el navegador escanee su contenido. Solo pueden marcarlo como sospechoso por estar cifrado.

  3. Ciframos los nombres de los ficheros internos, para que ni el usuario ni el antivirus sepan qué contiene.

  4. Lo convertimos en auto-ejecutable, y configuramos que al terminar la instalación, ejecute el archivo prepararentorno.bat.

Este .bat, como ya vimos, moverá y ejecutará el archivo malicioso, esperará, y luego iniciará el instalador del juego. Así, cuando el usuario vea el instalador en pantalla, el virus ya se habrá instalado silenciosamente.

Próximo Paso

En el siguiente punto vamos a ejecutar este ensamblado, para mostrarte, paso por paso, qué es lo que ocurre realmente dentro de la PC. Vas a poder ver cada uno de los procesos que mencionamos, y cómo es que terminás con tu dispositivo infectado por un virus al que le diste todo el consentimiento necesario… y que ahora puede hacer lo que quiera.

Creado con eXeLearning (Ventana nueva)