Análisis del funcionamiento y comportamiento de un instalador con procesos ocultos
En este análisis, exploramos cómo un instalador puede ejecutar procesos en segundo plano que no son visibles a simple vista, mostrando la diferencia entre una versión que oculta estas acciones y otra que las deja a la vista.
A través de la descarga, instalación y monitoreo del archivo, examinamos qué ocurre en el sistema y cómo los antivirus pueden reaccionar ante estas actividades.
El objetivo es comprender mejor los mecanismos que utilizan ciertos instaladores para ejecutar código potencialmente malicioso sin que el usuario lo perciba directamente.
Transcripción del audio del video
Nos encontramos de nuevo en MediaFire, esta vez para probar la versión del instalador que no oculta los procesos que suceden en segundo plano.
Como hicimos la última vez, vamos a proceder descargándolo como lo haríamos con normalidad.
Como vemos, el propio dispositivo nos recuerda que no es un archivo confiable, no por su contenido —porque no puede leerlo al estar cifrado con contraseña— sino porque precisamente no puede leerlo.
Mantenemos el archivo de todos modos y lo llevamos al escritorio.
Ahora vamos a instalarlo como lo haríamos con normalidad y como hicimos con el primer archivo.
De nuevo, Windows intenta proteger nuestra PC, pero confiamos en el tutorial de YouTube, así que vamos a ejecutarlo de todos modos.
La contraseña es: 1 2 3.
Y, como si fuera cualquier instalación que vemos, que hasta tiene ícono y todo, le damos a instalar.
Que me haga cambios en el dispositivo.
El tutorial de YouTube dijo que sí, así que ¿por qué sería algo malo?
Perfecto.
Si recordamos el primer archivo que intentamos, la versión que ocultaba los procesos en segundo plano, lo único que conseguíamos al ejecutarlo era este archivo .txt que representa el inicio de la instalación del juego.
Sin embargo, ahora podemos ver lo que estaba sucediendo en segundo plano: el segundo proceso, que vendría a ser la instalación de un virus.
En este caso, simplemente es un mensaje porque el objetivo es representar, no dañar una PC.
Sin embargo, esto lo podemos ver por encima, pero ¿qué cambios hizo nuestra PC más a profundidad?
Bueno, para eso, primero que nada tenemos que ir a:
Disco local > Usuarios > mi usuario > Documentos
Si recordamos en el video anterior, pudimos ver que parte de lo que hacía el archivo ya ensamblado era que, una vez iniciabas el .exe automáticamente con el autoejecutable, se iniciaba un archivo .bat que creaba una carpeta en esta ruta, concretamente la carpeta llamada ejemplo, y movía ahí el archivo malicioso que, como vemos, está aquí mismo.
Si recordamos, ese mismo archivo al finalizarse lo ejecutaba. Precisamente por eso esta carpeta ejemplo ahora es una carpeta excluida, y pudimos comprobarlo porque si llegamos a ver el mensaje de que el virus había instalado correctamente, lo anterior tuvo que suceder.
Aunque no tenemos que olvidar que es una carpeta excluida, podemos simplemente ir a:
Windows Defender > Administrar configuración > Agregar o quitar exclusiones
Y acá tenemos la misma ruta que vimos anteriormente, tanto en el código como en donde ahora está el archivo malicioso, en la zona de exclusiones.
Es decir, que el propio Defender no va a mirar ahí.
El mismo proceso se daría con cualquier otro antivirus con el que trabaje el virus.
Como pudimos ver, partiendo de la versión anterior que ocultaba los procesos, luego atravesando por desglosar lo que hacían los archivos internos, y ahora viendo todo el recorrido que hacen para poder concluir su objetivo.