Analisis de Malware VIU 2025

¿Qué es el malware según Lenny Zelster?. Código usado para realizar operaciones de mantenimiento. Software que optimiza procesos informáticos. Software malicioso que busca mejorar el rendimiento del sistema. Código utilizado para realizar acciones maliciosas.

¿Cuál de los siguientes NO es un objetivo del malware?. Robo de información confidencial. Espiar a la víctima. Mejorar la seguridad del sistema. Participar en botnets.

¿Qué diferencia a un virus de un gusano informático?. El virus se replica sin intervención humana. El gusano se replica sin intervención humana. Ambos requieren archivos anfitriones. El gusano depende de un ejecutable principal.

¿Qué tipo de malware se hace pasar por software legítimo?. Spyware. Ransomware. Troyano. Keylogger.

¿Qué hace un keylogger?. Cifra los archivos del usuario. Infecta la BIOS. Registra las pulsaciones del teclado. Redirige la navegación del usuario.

¿Qué caracteriza a un scareware?. Utiliza exploits para vulnerar navegadores. Engaña al usuario infundiendo pánico o temor. Infecta redes IoT. Bloquea el sistema y exige rescate.

¿Qué función tiene un backdoor?. Borrar rastros de infección. Detectar vulnerabilidades. Proporcionar acceso remoto al sistema. Instalar actualizaciones del sistema.

¿Qué hace un ransomware?. Bloquea o cifra los datos para pedir un rescate. Recolecta direcciones IP. Muestra anuncios emergentes. Modifica los privilegios de usuario.

¿Qué diferencia hay entre un downloader y un dropper?. El downloader borra archivos del sistema. El downloader descarga el malware desde Internet, el dropper lo contiene internamente. El dropper descarga el payload remotamente. No hay diferencia.

¿Qué es una botnet?. Red de equipos infectados controlados remotamente. Un antivirus de código abierto. Un exploit de red. Una herramienta de minería legal.

¿Qué es un servidor C&C?. Servidor que envía órdenes al malware y recibe información. Un software de cifrado. Un tipo de antivirus corporativo. Un exploit de navegador.

¿Qué diferencia hay entre malware y PUP/PUA?. El malware es legal. PUP/PUA son programas potencialmente no deseados, pero no necesariamente maliciosos. No existe diferencia. PUP es un tipo de ransomware.

¿Qué significa “payload”?. Clave de cifrado. Carga útil maliciosa que ejecuta la acción dañina. Tipo de rootkit. Protocolo de comunicación.

¿Qué tipo de malware permanece inactivo hasta un detonador?. Gusano. Bomba lógica. Backdoor. Rootkit.

¿Qué organización propuso el estándar CARO?. Computer Antivirus Research Organization. Common Malware Enumeration. Cybersecurity Alliance Research Office. Malware Analysis Committee.

¿Qué formato usa Microsoft para nombrar malware?. Tipo:Plataforma/Familia.Variante!Sufijo. Plataforma:Tipo.Variante!Familia. Familia/Tipo:Plataforma.Sufijo. Tipo.Variante/Familia.

En la nomenclatura de Microsoft, ¿qué representa la “Variante”?. Tipo de plataforma. Versión secuencial del malware. Descripción del ataque. Extensión del archivo.

¿Qué formato utiliza Kaspersky?. [Prefijo:]Comportamiento.Plataforma.Nombre[.Variante]. Tipo:Familia.Plataforma.Variante. Comportamiento.Nombre.Variante. Prefijo.Variante.Nombre.

En Kaspersky, ¿qué significa “HEUR”?. Detección heurística. Malware cifrado. Función de red. Biblioteca del sistema.

¿Qué indica el sufijo “!lnk”?. Que se trata de un acceso directo. Que es un script PowerShell. Que el malware usa librerías DLL. Que es un archivo empaquetado.

¿Qué campo del encabezado Microsoft indica el sistema operativo objetivo?. Variante. Plataforma. Tipo. Sufijo.

¿Cuál fue el primer malware conocido de la historia?. Reaper. Creeper. Animal. Elk Cloner.

¿Qué virus se activaba cada viernes 13?. Chernobyl. ILoveYou. Jerusalem. Morris Worm.

¿Cuál fue el primer ransomware de la historia?. WannaCry. AIDS Trojan. Zeus. Sasser.

¿Qué caracteriza al malware polimórfico?. Su código cambia en cada infección manteniendo la funcionalidad. Se propaga solo por correo electrónico. Está basado en lenguaje Java. No necesita ejecutarse en memoria.

Qué lenguaje utilizó el gusano ILoveYou?. JavaScript. VBScript. Python. Perl.

¿Qué malware se considera el primero “fileless”?. Zeus. Code Red. Sasser. NetBus.

¿Qué tipo de malware comenzaron a usar las primeras botnets?. Troyanos. Gusanos. Adware. Spyware.

¿Qué representan los troyanos bancarios como Zeus o Spyeye?. Software de prueba educativa. El inicio del malware como negocio lucrativo. Los primeros virus auto-replicantes. Un tipo de ransomware.

¿Qué malware introdujo el modelo Ransomware-as-a-Service (RaaS)?. Reveton. LockBit. Petya. Ryuk.

¿Qué vulnerabilidad explotaba WannaCry?. SMB de Windows (EternalBlue). HTTP Proxy. RDP. NTFS.

¿Qué tipo de ataque fue el de SolarWinds (2020)?. Ataque DDoS. Ransomware dirigido. Ataque a la cadena de suministro. Ataque de phishing.

¿Qué ransomware afectó a Colonial Pipeline en 2021?. LockBit. DarkSide. Ryuk. Conti.

¿Qué es el phishing?. Engaño para obtener credenciales o información mediante mensajes falsos. Ataque de red con inyección SQL. Instalación remota de exploits. Escaneo automatizado de puertos.

¿Qué diferencia al spear-phishing del phishing tradicional?. Va dirigido a un individuo u organización específicos. Utiliza SMS como canal principal. Solo se realiza por redes sociales. No requiere ingeniería social.

¿En qué consiste un ataque “watering hole”?. Comprometer un sitio web legítimo para infectar a sus visitantes. Enviar correos masivos con malware. Interceptar tráfico Wi-Fi público. Clonar una red corporativa.

¿Qué es un drive-by-download?. Instalación automática de malware al visitar un sitio web comprometido. Descarga voluntaria de software libre. Inyección de scripts en correo electrónico. Exfiltración de contraseñas.

¿Qué es el malvertising?. Uso de publicidad en línea maliciosa para redirigir o infectar. Phishing a través de SMS. Ataque contra servidores DNS. Ransomware de correos electrónicos.

¿Qué aprovecha un exploit para comprometer un sistema?. Vulnerabilidades del software. Permisos de usuario. Archivos de texto. Plugins de navegador actualizados.

¿Qué caracteriza a los ataques APT?. Son persistentes, dirigidos y de larga duración. Afectan solo a redes domésticas. Son ataques automáticos sin control humano. Solo usan ransomware.

¿Cuál es el objetivo principal del análisis de malware?. Comprender su funcionamiento y prevenir infecciones futuras. Instalar antivirus. Generar copias del malware. Probar exploits en producción.

¿Qué son los IoC (Indicadores de Compromiso)?. Patrones que permiten identificar una infección. Códigos fuente del malware. Archivos cifrados. Herramientas de ingeniería inversa.

¿Por qué es importante un entorno seguro para el análisis?. Para evitar la propagación o daño a sistemas reales. Para acelerar el proceso. Para compartir el malware. Porque el antivirus lo requiere.

¿Qué es el registro EAX en la arquitectura x86?. Registro acumulador extendido usado en operaciones aritméticas. Registro del sistema operativo. Memoria de pila. Dirección de segmento.

¿Qué indica el modo little-endian?. Que el byte menos significativo se almacena en la dirección más baja. Que el bit más alto se almacena primero. Que la memoria se organiza en orden descendente. Que los datos se cifran.

¿Qué registro apunta a la cima de la pila?. ESP. EBP. EAX. EDX.

¿Qué hace la instrucción MOV?. Copia el valor del operando origen al destino. Multiplica registros. Cierra un proceso. Cambia el flujo de ejecución.

¿Qué realiza la instrucción CMP?. Compara dos operandos y actualiza las banderas. Suma registros. Crea un bucle. Llama a una subrutina.

¿Qué hace la instrucción ADD?. Suma los operandos y guarda el resultado en el destino. Resta operandos. Copia datos a memoria. Interrumpe el proceso.

¿Qué instrucción empuja un valor a la pila?. PUSH. POP. JMP. MOV.

¿Qué instrucción realiza saltos condicionales?. JXX (JZ, JNZ, JG, etc.). MOV. CALL. LEA.

¿Qué significa JNZ?. Jump if Not Zero (Salta si el resultado no es cero). Jump if Negative Zero. Jump Next Zone. Join Non-Zero Bits.

¿Qué diferencia hay entre CALL y JMP?. CALL guarda la dirección de retorno; JMP no. CALL reinicia el programa. JMP ejecuta múltiples líneas. CALL modifica banderas.

¿Qué instrucción devuelve el control al llamador?. RET. END. JMP. MOV.

¿Qué operación realiza XOR?. Operación lógica OR exclusiva bit a bit. Suma binaria. Multiplicación binaria. Inversión de bits.

¿Qué ocurre en la pila al llamar a una función (CALL)?. Se guarda la dirección de retorno. Se elimina el registro EAX. Se limpia la memoria RAM. Se inicializan las banderas.

¿Qué convención de llamada limpia la pila desde el código llamador?. cdecl. stdcall. fastcall. systemcall.

¿Qué registros usa fastcall para pasar los primeros argumentos?. ECX y EDX. EAX y EBX. ESP y EBP. AL y AH.

¿Qué hace la instrucción LEA?. Carga una dirección efectiva en un registro. Lee un archivo. Ejecuta una librería externa. Copia datos entre registros.

¿Qué significa que la pila crece hacia direcciones más bajas?. Que cada PUSH reduce el valor de ESP. Que la pila se llena de arriba hacia abajo físicamente. Que ocupa el espacio más alto de la RAM. Que los datos se invierten al leer.