Abrir software con troyano y que no infecte el host

**jmtella** · 16/03/2023, 20:28:59

Originalmente publicado por Tomás Ver Mensaje

Tengo que bajar y abrir un rar que vino con un troyano y necesito extraer un archivo de texto solamente y pensé en hacerlo desde una VM de vmware workstation. Mi temor es que se me cuele el troyano al Windows físico. Leí que debería configurar la máquina con la red en HOST ONLY. Eso será lo suficientemente seguro?

Por si acaso... sin RED...

**jmtella** · 16/03/2023, 20:29:46

Originalmente publicado por jmtella Ver Mensaje

Por si acaso... sin RED...

Y sin las tools de vmware... ya que estas comparten dispositvos.

**Tomás** · 16/03/2023, 21:31:40

Gracias José....

Ahora me doy cuenta que para bajar el bendito rar necesito tener la máquina virtual con internet, o sea en NAT para que tenga conectividad con inet.
Y así no me animo a bajarlo. Solo se me ocurre que apenas lo baje, nmediatamente apagar el guest. Luego desde setting cambiar a HOST ONLY y encender sin conexión de red ni tools.

Pero mi temor es que en el proceso de download y carga del rar en la carpeta respectiva el troyano pueda actuar aunque no haya abierto el rar....
Cómo lo ves?

Sino tendré que instalar un SO cualquiera y que se infecte , extraer el archivo de texto a un pendrive y después desinstalar el SO. Si esto fuera efectivo, es inseguro instalar ese SO en una partición del mismo equipo que quiero proteger??

**jmtella** · 16/03/2023, 21:38:38

Originalmente publicado por Tomás Ver Mensaje

Gracias José....

Ahora me doy cuenta que para bajar el bendito rar necesito tener la máquina virtual con internet, o sea en NAT para que tenga conectividad con inet.
Y así no me animo a bajarlo. Solo se me ocurre que apenas lo baje, nmediatamente apagar el guest. Luego desde setting cambiar a HOST ONLY y encender sin conexión de red ni tools.

Pero mi temor es que en el proceso de download y carga del rar en la carpeta respectiva el troyano pueda actuar aunque no haya abierto el rar....
Cómo lo ves?

Sino tendré que instalar un SO cualquiera y que se infecte , extraer el archivo de texto a un pendrive y después desinstalar el SO. Si esto fuera efectivo, es inseguro instalar ese SO en una partición del mismo equipo que quiero proteger??

A ver... el circuito seria:

* Maquina virtual NUEVA sin tools y con red.
* Bajarse el troyano y apagar la virtual
* Quitar el adaptador de red en la configuración de la máquina virtual.
Y ya la puedes arrancar.

Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

Y luego destruyes la virtual.

**jmtella** · 16/03/2023, 21:40:15

Originalmente publicado por jmtella Ver Mensaje

AA ver... el circuito seria:

* Maquina virtual NUEVA sin tools y con red.
* Bajarse el troyano y apagar la virtual
* Quitar el adaptador de red en la configuración de la máquina virtual.
Y ya la puedes arrancar.

Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

Y luego destruyes la virtual.

Por cierto, tienes un pequeño cacao.. con HOST only *si* que puede llegar al host.
Lo que hay que hacer es quitarle el adaptador de red.

**Tomás** · 16/03/2023, 22:06:29

Originalmente publicado por jmtella Ver Mensaje

A ver... el circuito seria:

* Maquina virtual NUEVA sin tools y con red.
* Bajarse el troyano y apagar la virtual
* Quitar el adaptador de red en la configuración de la máquina virtual.
Y ya la puedes arrancar.

Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

Y luego destruyes la virtual.

Bingo!!!! Gracias !!!!!!!!!!!!!!!!!!!

**Tomás** · 16/03/2023, 22:08:17

Originalmente publicado por jmtella Ver Mensaje

Por cierto, tienes un pequeño cacao.. con HOST only *si* que puede llegar al host.
Lo que hay que hacer es quitarle el adaptador de red.

Podría haber sido chocolate espeso!!!! Menos mal que pregunté aquí, donde siempre hay consistencia

**noSign** · 17/03/2023, 10:54:00

Al hilo de la virtual ¿Porqué no usáis la sandbox de Windows en vez de VM?

Espacio aislado de Windows

https://learn.microsoft.com/es-es/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview

Información general de Espacio aislado de Windows

**jmtella** · 17/03/2023, 10:57:45

Originalmente publicado por noSign Ver Mensaje

Al hilo de la virtual ¿Porqué no usáis la sandbox de Windows en vez de VM?

https://learn.microsoft.com/es-es/wi...ndbox-overview

Mal asunto...tiene red con la principal... y si es un ramsonware que usando una vulnerabilidad va por red...puede infectar.

**noSign** · 17/03/2023, 11:15:33

Pero se puede deshabilitar

Configuración del espacio aislado de Windows

https://learn.microsoft.com/es-es/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file#networking

Configuración del espacio aislado de Windows

**Tomás** · 18/03/2023, 14:52:54

Ya está, gracias por la ayuda e interés. Logré extraer la info del txt como dijo José. En la próxima probaré eso de la sandbox que me pica hacerlo...

Abrir software con troyano y que no infecte el host

Abrir software con troyano y que no infecte el host

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario