DATOS PERSONALES FIRMA

Nombre: DNI:
Apellidos:
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO
14133.- HACKING ÉTICO Y Ordinaria
EN CIBERSEGURIDAD
ANÁLISIS DE MALWARE Número periodo 3936
(PLAN 2022)

FECHA MODELO CIUDAD DEL EXAMEN

13-15/01/2023 Modelo - A

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (al final del examen
tienes un folio que puedes utilizar únicamente para hacerte esquemas y organizarte,
el cual se entregará junto con el examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua, aunque
esta última sí se guardará para la siguiente convocatoria en caso de no aprobar.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. El examen consta de 2 partes. Tipo test (4 puntos máximo) y desarrollo (6 puntos
máximo, 3 y 3 respectivamente).

Código de examen: 198505

 Puntuación
Preguntas test

• (Puntuación máxima 4) 4,00 puntos

Preguntas desarrollo

• (Puntuación máxima 6) 6,00 puntos

Contesta a las siguientes preguntas eligiendo la respuesta correcta.

Las no contestadas o incorrectas no restan.

Utiliza la plantilla que tienes al final de las preguntas para reflejar tus respuestas.

1. Señalar la respuesta correcta. Listando los procesos de una máquina,

encontramos ejecutándose scvhost. ¿Puede ser un programa malicioso?

A. No, es un ejecutable propio de Windows

B. Puede serlo, si se ejecuta con PID 1337
C. Puede serlo, si no cuelga del proceso services.exe
D. Puede serlo, si no tiene ningún handle a Mutex

2. ¿Qué es una backdoor?

A. Una forma de entrar en la máquina de la víctima habiendo dejado una vulnerabilidad

a propósito en ella.
B. Un tipo de vulnerabilidad que permite al atacante tomar el control total de la máquina
víctima.
C. Un mecanismo de protección para la ejecución arbitraria de código.
D. Una técnica de ataque en la que se capturan las pulsaciones de la máquina víctima y
se envían al atacante.

3. Señalar la respuesta correcta. Un rootkit:

A. Exclusivamente se puede detectar realizando un análisis de memoria

B. Se puede detectar mediante análisis diferencial de las respuestas del sistema
operativo
C. Es indetectable, si sospechamos estar infectados con uno, hay que formatear
D. Se puede detectar porque impide iniciar sesión como administrador

4. ¿Cuál es la principal diferencia entre el footprinting y el fingerprinting?.

Código de examen: 198505

 A. El footprinting obtiene más información de la víctima si los conocimientos de esta en
el área de la seguridad son escasos o nulos, mientras que el fingerprinting siempre
encuentra la misma información.
B. El nombre.
C. El footprinting no necesita de conocimiento técnico, el fingerprinting sí.
D. El footprinting no interacciona con la víctima mientras que el fingerprinting sí.

5. Señalar la respuesta correcta. ¿Qué es una sandbox en análisis de malware?

A. Un entorno de análisis que emula un sistema real incluyendo herramientas de

monitorización
B. Un sistema para evitar que el malware ataque nuestras aplicaciones más críticas
C. Una técnica para enterrar el malware entre tantos datos, que no puede ejecutarse
correctamente
D. Ninguna respuesta es correcta

6. Los escaneos TCP ACK:

A. No permiten determinar si un puerto está abierto o cerrado, solo si se encuentra no

filtrado.
B. En los paquetes enviados no se fija ningún bit (la cabecera de banderas TCP es 0)
C. Fija los bits de FIN, PSH, y ACK flags
D. Utiliza sondeos UDP

7. Señalar la respuesta incorrecta. Mecanismos de obtención del malware:

A. Bajándolo de páginas de Internet.

B. Robándolo a organizaciones cibercriminales.
C. Capturándolo en una honeynet, honeypot y honeytokens.
D. Capturándolo en una máquina infectada de la organización.

8. Señalar la respuesta correcta. Con respecto al análisis estático:

A. Nunca debe utilizarse sobre muestras de ransomware

B. Cuando se realiza sobre software .NET requiere de un experto en instrucciones de
ensamblador
C. Es una práctica imprescindible, porque permite ver cómo se comporta el malware en
un entorno real
D. Es una práctica imprescindible, porque permite ver características del malware que
no salen a la luz mediante un análisis dinámico

9. ¿Qué es el QRLJacking?

A. Es una técnica basada en el protocolo OAuth para conseguir autorizaciones del

usuario y poder utilizar su cuenta
B. Es el uso de técnicas de codificación de caracteres con el objetivo de engañar al ojo
del usuario

Código de examen: 198505

 C. Consiste en el secuestro de un QRCode con el objetivo de obtener un beneficio por
parte del atacante
D. Es el uso de la barra de direcciones para suplantarla

10. Selalar la respuesta correcta. Detectamos que hay una muestra de malware
porque aparece un proceso powershell colgando de un word

A. Es un | infección, a través de macros

B. Eso no puede pasar, sólo pueden colgar procesos de exe o dll
C. Todas son falsas
D. Es habitual el uso de cualquier producto de Microsoft dentro de Office

Código de examen: 198505

 PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D

10

Código de examen: 198505

Contesta a las siguientes preguntas desarrollando la respuesta.

Recuerda que se valorará positivamente el máximo nivel de detalle y perspectiva del alumno
atendiendo al material impartido en las clases.

Primera pregunta 3 puntos. Segunda pregunta 3 puntos.

1. Se pide al alumno que desarrolle con sus propias palabras los siguientes
conceptos relacionado con la fase de fingerprinting:
1. ¿Qué es un escaneo TCP SYN y TCP ACK? ¿Cuál es la diferencia? ¿Qué
información es obtenida mediante estas técnicas?
2. Explica en qué consiste el proceso de banner grabbing.
3. Explica algún método disponible para detectar la versión del Sistema
Operativo mediante técnicas de fingerprinting.
(Responder en 35 líneas)

2. Hemos obtenido una muestra de malware que ha infectado y cifrado varios

de nuestros equipos, pero por más que ejecutamos una muestra de malware
en nuestra máquina virtual, parece que no hace nada:

• ¿Qué puede estar pasando?

• ¿Cómo podemos evitarlo

(Responder en 1 caras)

Código de examen: 198505