como examinar el codigo de un virus

[crazykenny]

Hola; quisiera abrir este tema para preguntar una cosa, si no es molestia, claro esta.
Entonces, a ver, la pregunta en si es, bueno, que alguna vez me he preguntado mas o menos como puede funcionar un virus (a nivel basico), y, bueno, podriamos decir que, en parte, estoy interesado en saber, bueno, como esta diseñado un virus (o en ver el codigo fuente de un virus), y, bueno, se que segun como se mire esto que voy a preguntar ahora puede parecer que lo pregunto para hacer cosas ilegales tipo infectar otros ordenadores (pero que no es el caso), pero, aun asi, bueno, me preguntaba si es posible obtener algun codigo de algun virus (y, a ser posible, "uno simple") para, digamos, observar su codigo y/o intentar ver como funciona mas o menos.
Por otra parte, bueno, si se da el caso de borrar este mensaje, me disculpo por las molestias causadas, y entendere dicha accion debido a que, bueno, tambien entiendo el hecho de que cualquiera puede venir y abrir un tema con la excusa de que quiere examinar el codigo de un virus para saber como funciona y/o ver los diversos efectos que puede tener en un ordenador que no utiliza con el objetivo real de, bueno, realizar diversas acciones ilicitas y/o ilegales para dañar otros equipos que no son de su propiedad.
Por ultimo, bueno, hace ya algun tiempo, bueno, escuche de programas para crear virus y/o incluso gusanos que, bueno, no hace mucho he conseguido descargar, y, bueno, ¿sabeis como podria examinar los diversos "malware" (o como querais llamarlo) que generan dichos programas?.
Muchas gracias por vuestra atencion.
Saludos.

[Mad Antrax]

De verdad me asombra tu forma de expresarte, utilizas la palabra "bueno" y demás coletillas de una forma monstruosamente alarmante xD

Volviendo a tu pregunta, hay 2 formas de analizar, estudiar y examinar el código/comportamiento de un virus. La primera y más complicada es cargarlo en un debugger, descompilar en ASM, sacar las llamadas a las API's y empezar a analizar el código. Para ello necesitas un mínimo de herramientas y conocimientos de ensamblador. Dejaremos éste método como avanzado y no lo explicaré:

La segunda forma es utilizando una SandBox, en internet hay una muy conocida que a mi personalmente me encanta: La SandBox de Anubis

http://anubis.iseclab.org/

Básicamente es una web que permite cargar un ejecutable y tras unos minutos nos saca un hermono report con todo lo que reliza el programa, incluso los cambios y accesos al registro, si destruye ficheros o modifica cosas, si descarga información de internet, si envía datos a un FTP, etc etc etc... te dejo ejemplos de virus que han sido analizados con Anubis, basicamente conste en cargar el virus y leer el fichero. Es fácil, cómo, rápido y no necesitas conocimientos de Ensamblador:

Virus MyDoom http://anubis.iseclab.org/index.php?action=result&task_id=1d123922a533537d4f12b6ed9d1af5c97&format=html
Virus Beagle http://anubis.iseclab.org/index.php?action=result&task_id=16c826d8ec290d5d4e1bb0dd8828a29df&format=html

El source "tal cual" no lo podrás extraer de forma directa. Puedes buscar por internet en alguna base de datos si se ha publicado el source de un virus en concreto para que pueda ser analizado, pero extraer un source funcional de un solo EXE compilado.... olvidalo.

Si quieres una bonita web de virus, información, sources, ejemplos y herramientas... VX Heaven: http://vxheaven.org/src.php Está un poco desfasada, pero encontrarás joyas como el virus IloveYou y similares. Por no hablar de la herramienta VBSWGEN que me enseñó personalmente lo básico de la programación de worms en VBS

[Vaagish]

Bueno, no es para tanto, digo.. Bueno. 

[crazykenny]

Entiendo, y, bueno, muchas gracias por vuestras respuestas, me han sido muy utiles.
Muchas gracias por vuestra atencion.
Saludos.

[.:UND3R:.]

Quizás ingeniería inversa, con esto podrías entender el funcionamiento de los ejecutables:

http://foro.elhacker.net/ingenieria_inversa-b26.0/

[crazykenny]

Entiendo, y, bueno, gracias por tu respuesta, .:UND3R:., y, bueno, a decir verdad, siempre he viso esta sección del foro sobre ingenieria inversa, y, por otra parte, bueno, he visto algun que otro tema asi "por encima", y me parece interesante, aunque, por otra parte, y, si soy sincero, tengo conocimientos demasiado basicos de informatica a nivel general como para entenderlo todo lo que se pregunta en el foro y demas cosas, aunque, bueno, todo es ponerse y/o esforzarse por aprender cosas nuevas y/o variadas (entre otras cosas); aun asi, gracias por comentarme esta sección del foro, .:UND3R:..
Muchas gracias por vuestra atencion.
Saludos.

[Mad Antrax]

Entiendo, y, bueno, gracias por tu respuesta, .:UND3R:., y, bueno, a decir verdad, siempre he viso esta sección del foro sobre ingenieria inversa, y, por otra parte, bueno, he visto algun que otro tema asi "por encima", y me parece interesante, aunque, por otra parte, y, si soy sincero, tengo conocimientos demasiado basicos de informatica a nivel general como para entenderlo todo lo que se pregunta en el foro y demas cosas, aunque, bueno, todo es ponerse y/o esforzarse por aprender cosas nuevas y/o variadas (entre otras cosas); aun asi, gracias por comentarme esta sección del foro, .:UND3R:..
Muchas gracias por vuestra atencion.
Saludos.

Acabo de copiar tu mensaje, las palabras marcadas en negrita sobran. Lee el texto omitiendo las palabras en negrita. Verás que se entienden muchisimo mejor

[el-brujo]

bueno crazykenny , parece que ||MadAntrax|| es tu nuevo logopeda y de los buenos 

[Vaagish]

bueno crazykenny , parece que ||MadAntrax|| es tu nuevo logopeda y de los buenos 

Ojo que te agarra ||MadAntrax|| jejejeje 

[sanson]

Hola

Jejejje. Pero es que además todo eso y no dice nada.......

Se resumen en que:

le gusta esta sección del foro, pero sus conocimientos son básicos, aun que todo es ponerse

Ya esta claro conciso y corto, lo que se llama ir al grano de toda la vida


Espero no te lo tomes a mal

Saludos

Pd su respuesta ahora sera

" si bueno, me suele pasar a veces ". Jejjejeje. Es que ami ya me lo a puesto un par de veces