Abrir software con troyano y que no infecte el host

Colapsar
X
 
  • Filtrar
  • Tiempo
  • Mostrar
Limpiar Todo
nuevos mensajes
  • Tomás
    Senior Member
    • Oct
    • 220

    Abrir software con troyano y que no infecte el host

    Tengo que bajar y abrir un rar que vino con un troyano y necesito extraer un archivo de texto solamente y pensé en hacerlo desde una VM de vmware workstation. Mi temor es que se me cuele el troyano al Windows físico. Leí que debería configurar la máquina con la red en HOST ONLY. Eso será lo suficientemente seguro?
  • jmtella
    Administrator
    • Nov
    • 20685

    #2
    Originalmente publicado por Tomás Ver Mensaje
    Tengo que bajar y abrir un rar que vino con un troyano y necesito extraer un archivo de texto solamente y pensé en hacerlo desde una VM de vmware workstation. Mi temor es que se me cuele el troyano al Windows físico. Leí que debería configurar la máquina con la red en HOST ONLY. Eso será lo suficientemente seguro?
    Por si acaso... sin RED...

    Comentario

    • jmtella
      Administrator
      • Nov
      • 20685

      #3
      Originalmente publicado por jmtella Ver Mensaje

      Por si acaso... sin RED...
      Y sin las tools de vmware... ya que estas comparten dispositvos.

      Comentario

      • Tomás
        Senior Member
        • Oct
        • 220

        #4
        Gracias José....

        Ahora me doy cuenta que para bajar el bendito rar necesito tener la máquina virtual con internet, o sea en NAT para que tenga conectividad con inet.
        Y así no me animo a bajarlo. Solo se me ocurre que apenas lo baje, nmediatamente apagar el guest. Luego desde setting cambiar a HOST ONLY y encender sin conexión de red ni tools.

        Pero mi temor es que en el proceso de download y carga del rar en la carpeta respectiva el troyano pueda actuar aunque no haya abierto el rar....
        Cómo lo ves?

        Sino tendré que instalar un SO cualquiera y que se infecte , extraer el archivo de texto a un pendrive y después desinstalar el SO. Si esto fuera efectivo, es inseguro instalar ese SO en una partición del mismo equipo que quiero proteger??

        Comentario

        • jmtella
          Administrator
          • Nov
          • 20685

          #5
          Originalmente publicado por Tomás Ver Mensaje
          Gracias José....

          Ahora me doy cuenta que para bajar el bendito rar necesito tener la máquina virtual con internet, o sea en NAT para que tenga conectividad con inet.
          Y así no me animo a bajarlo. Solo se me ocurre que apenas lo baje, nmediatamente apagar el guest. Luego desde setting cambiar a HOST ONLY y encender sin conexión de red ni tools.

          Pero mi temor es que en el proceso de download y carga del rar en la carpeta respectiva el troyano pueda actuar aunque no haya abierto el rar....
          Cómo lo ves?

          Sino tendré que instalar un SO cualquiera y que se infecte , extraer el archivo de texto a un pendrive y después desinstalar el SO. Si esto fuera efectivo, es inseguro instalar ese SO en una partición del mismo equipo que quiero proteger??
          A ver... el circuito seria:

          * Maquina virtual NUEVA sin tools y con red.
          * Bajarse el troyano y apagar la virtual
          * Quitar el adaptador de red en la configuración de la máquina virtual.
          Y ya la puedes arrancar.

          Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

          Y luego destruyes la virtual.

          Comentario

          • jmtella
            Administrator
            • Nov
            • 20685

            #6
            Originalmente publicado por jmtella Ver Mensaje

            AA ver... el circuito seria:

            * Maquina virtual NUEVA sin tools y con red.
            * Bajarse el troyano y apagar la virtual
            * Quitar el adaptador de red en la configuración de la máquina virtual.
            Y ya la puedes arrancar.

            Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

            Y luego destruyes la virtual.​
            Por cierto, tienes un pequeño cacao.. con HOST only *si* que puede llegar al host.
            Lo que hay que hacer es quitarle el adaptador de red.

            Comentario

            • Tomás
              Senior Member
              • Oct
              • 220

              #7
              Originalmente publicado por jmtella Ver Mensaje
              A ver... el circuito seria:

              * Maquina virtual NUEVA sin tools y con red.
              * Bajarse el troyano y apagar la virtual
              * Quitar el adaptador de red en la configuración de la máquina virtual.
              Y ya la puedes arrancar.

              Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

              Y luego destruyes la virtual.​
              Bingo!!!! Gracias !!!!!!!!!!!!!!!!!!!

              Comentario

              • Tomás
                Senior Member
                • Oct
                • 220

                #8
                Originalmente publicado por jmtella Ver Mensaje

                Por cierto, tienes un pequeño cacao.. con HOST only *si* que puede llegar al host.
                Lo que hay que hacer es quitarle el adaptador de red.
                Podría haber sido chocolate espeso!!!! Menos mal que pregunté aquí, donde siempre hay consistencia

                Comentario

                • noSign
                  Super Moderator
                  • Dec
                  • 4429

                  #9
                  Al hilo de la virtual ¿Porqué no usáis la sandbox de Windows en vez de VM?

                  Comentario

                  • jmtella
                    Administrator
                    • Nov
                    • 20685

                    #10
                    Originalmente publicado por noSign Ver Mensaje
                    Al hilo de la virtual ¿Porqué no usáis la sandbox de Windows en vez de VM?

                    https://learn.microsoft.com/es-es/wi...ndbox-overview
                    Mal asunto...tiene red con la principal... y si es un ramsonware que usando una vulnerabilidad va por red...puede infectar.

                    Comentario

                    • noSign
                      Super Moderator
                      • Dec
                      • 4429

                      #11
                      Pero se puede deshabilitar

                      Comentario

                      • Tomás
                        Senior Member
                        • Oct
                        • 220

                        #12
                        Ya está, gracias por la ayuda e interés. Logré extraer la info del txt como dijo José. En la próxima probaré eso de la sandbox que me pica hacerlo...

                        Comentario

                        Trabajando...
                        X