Antes de centrarnos en explicar cómo funcionan los Crypters, debemos destacar que la finalidad de estos es ocultarlo ante software analizadores de virus, por lo cual iniciaremos explicando que son y cómo funcionan estos últimos.

Resultado de imagen para crypter fud

Un software antivirus, se trata de un programa informático que se utiliza cada vez más y los cuales resultan más sofisticados a medida que pasa el tiempo, cuyo objetivo principal es identificar malware haciendo uso de diversas técnicas entre las cuales destacan las firmas turísticas y las firmas binarias.

Firmas Heurísticas

Son llamadas así ya que se encargan principalmente de anticipar y detectar todo aquel programa malicioso que no haya sido previamente analizado. Consiste principalmente en detectar aquellos elementos que forman parte de los malwares, haciendo uso de ciertas funciones, algoritmos complejos, etc. gracias a esto se detecta malware nuevo, siendo mucho más compleja su implementación, consumiendo mayor cantidad de recursos en comparación con las firmas tradicionales.

Firmas binarias

Se trata de ubicar la secuencia de bits que resulta característica de los programas maliciosos, por supuesto, previamente identificados. Con esto se quiere decir, que buscan un tipo de patrón ya conocido por el laboratorio de la empresa. Para ello la empresa debido recibir maestras de este programa malicioso anteriormente, analizándolo e identificando un patrón característico, constituyendo la firma binaria de este.

En base a lo descrito anteriormente, los Crypters resultan relevantes si se quiere ocultar información y que no pueda ser identificada por ninguna de las técnicas anteriores.

Funcionamiento principal de elemento encriptados

Básicamente estos elementos se suelen cifrar para evitar que los antivirus apliquen las técnicas anteriormente mencionadas y puedan descubrir su verdadero código fuente. Para ello se sirven de dos partes principales: el cliente y el stub. Básicamente el primero almacena la información programada que posteriormente se ubicará en una variable y se aplicarán diversas técnicas de programación para reordenar dicho código encriptandolo. La segunda parte utiliza un código fuente que se colocará encima del cliente, y además se ejecuta en la memoria una vez que el archivo es abierto, por ello se mezclan los ficheros y se obtendrá como resultado el fichero único Crypter.

Cuando se realizan las tareas de análisis y escaneo de los softwares antivirus, estos no pueden decodificar la información o código fuente. Por otra parte, cabe destacar que todos estos análisis se realizan a nivel de disco y no a nivel de la memoria RAM. Realmente cuando un antivirus indica que está escaneando la memoria, lo que realmente hace es ubicar en el disco duro el binario que ejecutó algún proceso, el cual se ejecuta en la memoria y es por ello que un Crypter basa su funcionamiento basándose en eso.

Conclusión

Básicamente los Crypters son una solución factible cuando se sabe programar y utilizar software para encriptar información. En este sentido, se debe hacer uso de ciertas técnicas para el archivo final puede ser lo más indetectable posible ante el estudio y análisis heurístico y binario de los antivirus modernos.

Deja un comentario