Announcement

**jmtella** · 16/03/pm, 07:28 PM

Originally posted by Tomás View Post

Tengo que bajar y abrir un rar que vino con un troyano y necesito extraer un archivo de texto solamente y pensé en hacerlo desde una VM de vmware workstation. Mi temor es que se me cuele el troyano al Windows físico. Leí que debería configurar la máquina con la red en HOST ONLY. Eso será lo suficientemente seguro?

Por si acaso... sin RED...

**jmtella** · 16/03/pm, 07:29 PM

Originally posted by jmtella View Post

Por si acaso... sin RED...

Y sin las tools de vmware... ya que estas comparten dispositvos.

**Tomás** · 16/03/pm, 08:31 PM

Gracias José....

Ahora me doy cuenta que para bajar el bendito rar necesito tener la máquina virtual con internet, o sea en NAT para que tenga conectividad con inet.
Y así no me animo a bajarlo. Solo se me ocurre que apenas lo baje, nmediatamente apagar el guest. Luego desde setting cambiar a HOST ONLY y encender sin conexión de red ni tools.

Pero mi temor es que en el proceso de download y carga del rar en la carpeta respectiva el troyano pueda actuar aunque no haya abierto el rar....
Cómo lo ves?

Sino tendré que instalar un SO cualquiera y que se infecte , extraer el archivo de texto a un pendrive y después desinstalar el SO. Si esto fuera efectivo, es inseguro instalar ese SO en una partición del mismo equipo que quiero proteger??

**jmtella** · 16/03/pm, 08:38 PM

Originally posted by Tomás View Post

Gracias José....

Ahora me doy cuenta que para bajar el bendito rar necesito tener la máquina virtual con internet, o sea en NAT para que tenga conectividad con inet.
Y así no me animo a bajarlo. Solo se me ocurre que apenas lo baje, nmediatamente apagar el guest. Luego desde setting cambiar a HOST ONLY y encender sin conexión de red ni tools.

Pero mi temor es que en el proceso de download y carga del rar en la carpeta respectiva el troyano pueda actuar aunque no haya abierto el rar....
Cómo lo ves?

Sino tendré que instalar un SO cualquiera y que se infecte , extraer el archivo de texto a un pendrive y después desinstalar el SO. Si esto fuera efectivo, es inseguro instalar ese SO en una partición del mismo equipo que quiero proteger??

A ver... el circuito seria:

* Maquina virtual NUEVA sin tools y con red.
* Bajarse el troyano y apagar la virtual
* Quitar el adaptador de red en la configuración de la máquina virtual.
Y ya la puedes arrancar.

Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

Y luego destruyes la virtual.

**jmtella** · 16/03/pm, 08:40 PM

Originally posted by jmtella View Post

AA ver... el circuito seria:

* Maquina virtual NUEVA sin tools y con red.
* Bajarse el troyano y apagar la virtual
* Quitar el adaptador de red en la configuración de la máquina virtual.
Y ya la puedes arrancar.

Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

Y luego destruyes la virtual.

Por cierto, tienes un pequeño cacao.. con HOST only *si* que puede llegar al host.
Lo que hay que hacer es quitarle el adaptador de red.

**Tomás** · 16/03/pm, 09:06 PM

Originally posted by jmtella View Post

A ver... el circuito seria:

* Maquina virtual NUEVA sin tools y con red.
* Bajarse el troyano y apagar la virtual
* Quitar el adaptador de red en la configuración de la máquina virtual.
Y ya la puedes arrancar.

Pero... ese TXT que quieres ver, solo lo podrás ver por consola y no podrás pasarlo a la principial (ya que no tienes las tools). Podrás hacer capturas de pantalla desde la principal, pero nada más.

Y luego destruyes la virtual.

Bingo!!!! Gracias !!!!!!!!!!!!!!!!!!!

**Tomás** · 16/03/pm, 09:08 PM

Originally posted by jmtella View Post

Por cierto, tienes un pequeño cacao.. con HOST only *si* que puede llegar al host.
Lo que hay que hacer es quitarle el adaptador de red.

Podría haber sido chocolate espeso!!!! Menos mal que pregunté aquí, donde siempre hay consistencia

**noSign** · 17/03/am, 09:54 AM

Al hilo de la virtual ¿Porqué no usáis la sandbox de Windows en vez de VM?

https://learn.microsoft.com/es-es/wi...ndbox-overview

**jmtella** · 17/03/am, 09:57 AM

Originally posted by noSign View Post

Al hilo de la virtual ¿Porqué no usáis la sandbox de Windows en vez de VM?

https://learn.microsoft.com/es-es/wi...ndbox-overview

Mal asunto...tiene red con la principal... y si es un ramsonware que usando una vulnerabilidad va por red...puede infectar.

**noSign** · 17/03/am, 10:15 AM

Pero se puede deshabilitar
https://learn.microsoft.com/es-es/wi...ile#networking

**Tomás** · 18/03/pm, 01:52 PM

Ya está, gracias por la ayuda e interés. Logré extraer la info del txt como dijo José. En la próxima probaré eso de la sandbox que me pica hacerlo...

Announcement

Abrir software con troyano y que no infecte el host

Abrir software con troyano y que no infecte el host

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment