Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Bound File Extractor: el primer anti-binder
 
VSantivirus No. 738 - Año 6 - Lunes 15 de julio de 2002

Bound File Extractor: el primer anti-binder
http://www.vsantivirus.com/mr-anti-binder.htm

Por Marcos Rico (*)
marcos@videosoft.net.uy


En primer lugar quisiera aclarar a los lectores qué es un Binder, antes de analizar el primer Anti-Binder de la historia.

Un binder es un pequeño programa que fusiona dos o más archivos. Hay otras denominaciones para este tipo de programas: también se conocen con los nombres de Joiner, Juntador, Trojan-Dropper, Dropper, etc.

En verdad los programadores de este tipo de software distinguen entre el Binder y el Dropper. Este último necesita de un compilador para su funcionamiento. En cambio las compañías antivirus tienden a denominarlos como Droppers de manera genérica.

El Binder no hace ningún daño per se. Es un programa totalmente inofensivo cuya única misión es "juntar" archivos. El antecedente más inmediato de estos programas se halla en los llamados File Spliters.

Estos programas eran muy usados en la época previa a los CD-ROM cuando todos teníamos disquetes y tenían (como bien sabemos) una capacidad muy limitada.

La opción para almacenar programas muy extensos pasaba por partir el archivo en varias partes y luego fusionarlas otra vez en el ordenador para reconstruir el archivo. 

El Binder se basa cabalmente en la tecnología de unión de partes. La variación aportada aquí consiste en que el Binder une archivos independientes. Los antivirus tienden a detectar estos archivos como amenazas y algunos programadores discuten mucho esto.

En realidad el asunto no ofrece mucha discusión. ¿Qué razón práctica podemos aducir para justificar el uso de un Binder?. Desde luego a mí no se me ocurre ninguna. Estos programas son usados para engañar a las víctimas. Es un método muy usado para infectar mediante el cebo de un programa atractivo para la víctima. El Binder permite unir cualquier virus a cualquier archivo. 

El resultado siempre es un ejecutable que es perfectamente funcional, es decir, tanto el virus como el programa cebo funcionarán perfectamente una vez ejecutado el archivo trampa.

Pero como en todo, hay Binders detectables y otros que no lo son (al menos de momento). Conozco al menos dos de estos programas que todavía pasan inadvertidos para los antivirus. Además las compañías antivirus no suelen otorgarle mucha importancia a estos productos y tardan más de lo recomendable en ofrecer la vacuna para estos programas. Por ejemplo, Juntador Beta (uno de los Binders más famosos) se llevó hasta meses siendo indetectable para muchos antivirus.

Entiendo perfectamente que tengan prioridades sobre otras amenazas más urgentes porque aunque no podamos detectar la presencia de un Binder, una vez que se separan los ejecutables es posible detener la infección con un buen antivirus (pasa lo mismo que con los compresores; un antivirus puede no reconocer un virus bajo un compresor, pero una vez se inicie el proceso de descompresión previo a la infección debe detenerlo). 

Si tenemos mala suerte podemos encontrarnos ante un Binder indetectable que también oculte un virus indetectable. Esto nos traería muchos problemas. Para evitar este imponderable un programador que responde al alias de MF4 (conocido programador de virus y troyanos) ha programado en C++/WIN32 API el primer Anti-Binder de la historia.

Hasta hace poco los programadores de Binders aseguraban que todo archivo fundido con su programa ya era irrecuperable en su forma y tamaño original.

Como vemos, ese falso tópico se acaba de difuminar. Pero la cosa no es tan fácil, ni tampoco el primer Anti-Binder de la historia es perfecto. Aún es una versión beta y tiene sus limitaciones: serias limitaciones, diría yo. 

Bound File Extractor básicamente lo que hace es separar los archivos fusionados por el Binder en sus respectivos ejecutables. Imaginemos que fundimos dos ejecutables y al final tenemos un único ejecutable. Si ahora usamos Bound File Extractor sobre el ejecutable fusionado, éste debería ser capaz de separar los dos ejecutables iniciales y luego ser completamente funcionales.

Esto es sólo en teoría, porque en la práctica hay algunas limitaciones.

Fundamentalmente son tres las limitaciones:

1. Las cabeceras MZ de los ejecutables no deben estar encriptadas.

2. El archivo fundido no debe estar comprimido (en este caso convendría descomprimirlo antes si es posible).

3. Todos los archivos fundidos deben ser ejecutables con cabeceras MZ válidas.

Si alguna de las condiciones expuestas no se cumple, no hay en absoluto garantías de éxito en el uso de Bound File Extractor. Es posible que los ejecutables resultantes carezcan de una parte de su código y entonces no se puedan ejecutar. 

De momento ésta es la primera versión de este sorprendente e inédito Anti-Binder. Básicamente lo que hace es ingeniería inversa sobre un Binder convencional. En próximas versiones su autor nos ha prometido que aceptará más archivos además de los ejecutables. 

¿Pero para qué queremos un Anti-Binder?. La respuesta es obvia: para defendernos.

Ésta no es una herramienta de ataque sino de defensa. Ya sabemos que es posible ocultar cualquier código maligno en cualquier ejecutable y ésa es una vía de infección muy sutil que afecta a muchos usuarios de ordenadores.

Si nosotros recibimos un ejecutable que nos resulta sospechoso (por ejemplo, cualquier crack que nos bajemos de Internet), sería muy conveniente someterlo al Bound File Extractor para que nos indique si dentro de él hay más archivos adheridos o no. Tengamos en cuenta que uno de esos archivos puede contener un virus. Ante esa posible eventualidad lo mejor es no ejecutar nunca el archivo. Es, por tanto, una muy útil herramienta defensiva que nos puede librar de más de una infección.

Finalmente he de advertir que si unimos dos ejecutables con un Binder, obtendremos tres archivos luego con el Anti-Binder. ¿Cuál es el tercer archivo?. Pues el llamado Stub (que normalmente es stub.exe). Es el archivo que une los ejecutables restantes.

En una prueba doméstica realizada en mi ordenador con dos archivos que uní con un Binder llamado F Combine, obtuve tres archivos finales, entre ellos stub.exe.

Paradójicamente los programadores de virus también pueden ayudarnos a hacernos la vida en Internet un poco más segura. Es difícil, desde luego, desentrañar las intenciones de esta gente.

Curiosos personajes, sí señor.


(*) Marcos Rico es un investigador independiente de virus, troyanos y exploits, y colaborador de VSAntivirus.com.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS