TinyAntivirus: un motor de antivirus de código abierto contra virus polimórficos

No sé si alguna vez os habéis enfrentado a algún virus polimórfico, si no los conocéis deciros brevemente que se trata de malware que produce múltiples copias operacionales de sí mismo y lo hace utilizando distintas técnicas (diferentes rutinas de cifrado, ofuscación, Mte, etc.) para dificultar la detección por parte del antivirus y facilitar su propia propagación.

Os podéis imaginar lo trabajoso y desagradable que resulta la desinfección si se está en el lado defensivo...


Quizás uno de los virus de este tipo más conocidos es W32.Sality que infecta los archivos ejecutables remplazando sus entry point para redireccionar la ejecución al código polimórfico del virus, el cual ha sido cifrado e insertado en la última sección del archivo original.

Y cómo hoy vagamos por la orilla azul, os traemos el reciente TinyAntivirus (TinyAv) del vietnamita Quang Nguyễn, un motor de antivirus diseñado para detectar y desinfectar virus polimórficos y que en su primera versión da buena cuenta de Sality (próximamente se añadirán módulos para otros como Virut o Polip).

Ya sé, estaréis pesando "menuda novedad, ya existen muchas aplicaciones antivirus y antimalware capaz de desinfectarlo igualmente". Por supuesto, pero no hay muchas de código abierto cómo TinyAv (licencia GPL) que nos permitan ver cómo funcionan por dentro estas herramientas y tener la posibilidad de personalizarlas y contribuir para mejorarlas...

Requisitos
Inicio rápido
  • Clona el repositorio: git clone https://github.com/develbranch/TinyAntivirus.git.
  • Build: Core engine, Console y módulo scan.
  • Cambia al directorio Release y ejecuta TinyAvConsole.exe.
Uso
TinyAvConsole.exe [options]

Opción Significado Valor por defecto
-e directorio de plug-ins directorio actual
-A profundidad de escaneo de archivos -1 : cualquiera
-D profundidad de escaenos -1 : cualquiera
-d ruta a escanear
-p
patrón de ficheros
*.*
-s max tamaño de fichero en bytes 10 * 1024 * 1024 (10 MB)
-m modeo de escaneo: Kill-virus (k) o Scan-only(s) Kill-virus (k)
-h muestra ayuda

Ejemplo

C:\build>TinyAvConsole.exe -d C:\sample
------------------------------------------------------
TinyAntivirus version 0.1
Copyright (C) 2016, Quang Nguyen. All rights reserved.
Website: http://develbranch.com
------------------------------------------------------
Scanning ...
C:\sample\calc.EXE
        W32.Sality.PE Disinfected
C:\sample\container.zip                                                 OK
C:\sample\container.zip>DiskView.exe                                    OK
C:\sample\container.zip>DMON.SYS                                        OK
C:\sample\container.zip>sub_container.zip                               OK
C:\sample\container.zip>sub_container.zip>NOTEPAD.EXE
        W32.Sality.PE Deleted
C:\sample\dbgview.chm                                                   OK
C:\sample\sub\gmer.EXE
        W32.Sality.PE Disinfected

=============================================
Scanned       : 4 file(s) (10 object(s))
Detected      : 3 file(s)
Removed       : 3 file(s)
Access denied : 0 file(s)

C:\build>

Repositorio GitHub: https://github.com/develbranch/TinyAntivirus

4 comentarios :

  1. Gracias papuhs!!! reviso a diario su blog :v .... podrian subir sobre extensiones de chrome :v tengo un codigo pero lo vota la chorme webstore :'v

    ResponderEliminar
  2. manda email :v y te paso mi face x alli :v

    ResponderEliminar