Decompilando malware

Recientemente, el autor del programa IDA Pro, ha desarrollado un plugin llamado Hex-Rays que permite decompilar código para facilitar su análisis. En las primeras pruebas que hemos estado haciendo sobre todo a la hora de analizar manualmente algún nuevo troyano que no saque nada interesante en el Analizador Automático de Malware, hemos podido comprobar que en situaciones no muy difíciles, el plugin funciona bastante bien. Veamos un ejemplo: una pequeña función que simplemente crea un fichero en disco (realmente es una función real de un troyano que se llama al crear un fichero de configuración del robo de credenciales) Al utilizar el nuevo plugin de Ilfak Guilfanov, obtenemos el siguiente código ya en un lenguaje de alto nivel: Es decir, tenemos una función que recibe una cadena como parámetro de entrada (que en el programa es c:\\windows\\temp), le concatenamos '$q.tmp' y creamos el fichero. Después comprobamos si ha habido algún error en la creación o no. Realmente, verlo en un lenguaje tipo C puede ayudar significativamente al analista a la hora de examinar cualquier código desconocido, ¡aunque si estás acostumbrado a leer miles y miles de líneas en ensamblador puede que no te haga falta!