Identificacion de Scripts Malignos.

Abstract

Esta investigacion consiste en extraer patrones de codigo de scripts malignos en ficheros batch y probar que pueden ser utilizados para identificar programas potencialmente malignos. Para esto se realizo un estudio de los principales metodos de deteccion de programas malignos, asi como de las tecnicas de ofuscamiento de codigo utilizadas en este tipo de programas para evitar ser detectados. Se realizo un estudio de 621 scripts malignos para obtener patrones teniendo en cuenta las caracteristicas de los ficheros batch, las acciones de los comandos del sistema en general, la frecuencia de aparicion de algunos comandos en este tipo de programas y los metodos de ofuscamiento de codigo en este tipo de programas. Se realizo un analizador para probar el reconocimiento de scripts potencialmente malignos en ficheros batch mediante los patrones obtenidos. Las pruebas de reconocimiento de los patrones se hicieron utilizando un metodo heuristico de analisis estatico. El analizador se desarrollo en C++ utilizando la libreria Boost-Regex para buscar en los programas los patrones obtenidos, representandolos mediante expresiones regulares.