Normalmente los desarrolladores de malware programan sus artefactos para que no se disparen si detectan que están dentro de una sandbox o una VM, o incluso la presencia de procesos de análisis. ¿Y si aprovecháramos ésto para proteger nuestro sistema? La idea está clara, simular que nuestra máquina es un sistema de análisis de malware para no infectarnos.
Fake Sandbox Processes (FSP) es un pequeño script en Powershell que simulará procesos falsos de análisis, sandbox y software de VM que algunos malware intentarán evitar. Podemos descargar el script original hecho por @x0rz aquí o una versión posterior optimizada de Phoenix1747.
Características del script
- Algunos tipos de spyware (normalmente avanzados) pueden dejar de ejecutarse correctamente siempre que se ejecuten los procesos creados.
- Requisitos: Powershell (preinstalado en Win 7 y posteriores), eso es todo.
- No hay carga del sistema.
- Fácil de usar.
Características del instalador
- Instala automáticamente el script en el directorio de inicio automático, de modo que no tengamos que ejecutarlo cada vez que volvamos a iniciar sesión.
- Requisitos: Sólo PowerShell.
- Viene también con un desinstalador para purgar todos los archivos.
- Todo incluido en un pequeño paquete offline.
- Actualizador opcional incluido.
Uso
Clic derecho en el archivo y elegir "Ejecutar con PowerShell"
~O~
Abrir la consola y pegar este comando (no olvidar poner la ruta correcta):
Powershell -executionpolicy remotesigned -F 'Your\Path\fsp.ps1'
Después de presionar enter, podremos elegir iniciar o detener todos los procesos.
Autoinicio
Para iniciar automáticamente el script, el autor hizo además un instalador: fsp-installer.bat, basta con ejecutarlo:
Proyecto: https://github.com/Phoenix1747/fake-sandbox
Fake Sandbox Processes (FSP) es un pequeño script en Powershell que simulará procesos falsos de análisis, sandbox y software de VM que algunos malware intentarán evitar. Podemos descargar el script original hecho por @x0rz aquí o una versión posterior optimizada de Phoenix1747.
Características del script
- Algunos tipos de spyware (normalmente avanzados) pueden dejar de ejecutarse correctamente siempre que se ejecuten los procesos creados.
- Requisitos: Powershell (preinstalado en Win 7 y posteriores), eso es todo.
- No hay carga del sistema.
- Fácil de usar.
Características del instalador
- Instala automáticamente el script en el directorio de inicio automático, de modo que no tengamos que ejecutarlo cada vez que volvamos a iniciar sesión.
- Requisitos: Sólo PowerShell.
- Viene también con un desinstalador para purgar todos los archivos.
- Todo incluido en un pequeño paquete offline.
- Actualizador opcional incluido.
Uso
Clic derecho en el archivo y elegir "Ejecutar con PowerShell"
~O~
Abrir la consola y pegar este comando (no olvidar poner la ruta correcta):
Powershell -executionpolicy remotesigned -F 'Your\Path\fsp.ps1'
Después de presionar enter, podremos elegir iniciar o detener todos los procesos.
Autoinicio
Para iniciar automáticamente el script, el autor hizo además un instalador: fsp-installer.bat, basta con ejecutarlo:
Proyecto: https://github.com/Phoenix1747/fake-sandbox
Comentarios
Publicar un comentario