herramientas paliativas. antimalware€¦ · o cuando aparezca de nuevo, haz clic en...

HERRAMIENTAS PALIATIVAS.

ANTIMALWARE

Clemente Cervantes Bustos


Índice: 1.- Instalar en GNU/Linux el antivirus ClamAV y su versión gráfica Clamtk .................................. 2

2.- Spyware .................................................................................................................................... 4

3.- Adware ..................................................................................................................................... 4

4.- Hijacking ................................................................................................................................... 6

5.- Keyloggers y Stealers ............................................................................................................... 7

6.- Botnets, Rogue y Criptovirus .................................................................................................... 8

7.- Fichero autorun.inf .................................................................................................................. 8

8.- Herramientas de análisis antimalware .................................................................................... 9


1.- Instalar en GNU/Linux el antivirus ClamAV y su versión

gráfica Clamtk Para instalar el ClamAV y el Clamtk ejecutaremos los siguientes comandos:

Una vez instalados procedemos a realizar un escáner en modo texto con el comando sudo

clamscan –r –i “directorio a analizar”. En mi caso analizaré el directorio de mi usuario, para

ello:

Hacemos lo mismo, pero en modo gráfico con el comando sudo clamtk.

Pulsando sobre histórico podemos ver el último o los últimos escáneres realizados.


Si pulsamos sobre carpeta personal analizará nuestro directorio personal.

Otras opciones que nos ofrece este programa son:

Por último, comentar que si queremos borrar los directorios o ficheros deberemos ejecutar el

comando: sudo clamscan –infected –remove –recursive “direcotorio”.


2.- Spyware Los spyware instalan en nuestro sistema con la finalidad de robar nuestros datos y espiar

nuestros movimientos por la red. Luego envían esa información a empresas de publicidad de

internet para comercializar con nuestros datos. Trabajan en modo ‘background’ (segundo

plano) para que no nos percatemos de que están hasta que empiecen a aparecer los primeros

síntomas.

Para evitar tener spywares podemos hacer lo siguiente:

Instalar herramientas antispyware: Estas son tan importantes como el firewall o los antivirus. Pero también hay aplicaciones gratuitas que funcionan muy bien: Malwarebytes Anti-Malware.

Activar el firewall: Este programa, que actúa como una especie de muro de contención, impide el ingreso de programas clandestinos a su PC desde Internet.

Usar un bloqueador de ventanas emergentes: Muchos navegadores modernos tienen la capacidad de impedir que los sitios muestren ventanas emergentes. Esta función puede ser configurada para estar siempre activa o alertar cuando un sitio intente mostrar una ventana emergente.

Usar el botón Cerrar para cerrar las ventanas emergentes: Conocer las alertas reales de nuestro sistema para poder distinguir las falsas. Evitar los botones como Cancelar o No gracias. En su lugar deberemos cerrar la ventana con el botón Cerrar X en la esquina de la barra de título.

3.- Adware Se tratan de programas creados para mostrarnos publicidad. En caso de que tu ordenador de

repente se inunde de ventanas emergentes o el navegador te envíe a páginas web que no

quieras, es posible que se haya infectado con adware. Tanto Windows como Mac son

vulnerables a los programas maliciosos que pueden secuestrar tu navegador y llenar tu

pantalla de basura y anuncios. En caso de que el ordenador se haya infectado sin que tu

sistema tuviera ningún programa de protección, quizá te preocupe perder todo su contenido.

Para eliminarlos podemos hacer diferentes cosas, algunas de ellas son:

Iniciar el ordenador en "Modo seguro con funciones de red". Reinicia el ordenador en "Modo seguro" con todas las unidades multimedia (como CD y unidades flash) retiradas.

Windows 8 y 10:

o Presiona Win+X y selecciona "Apagar o cerrar sesión" seguido de "Reiniciar". o Cuando la computadora se inicie y aparezca la pantalla de inicio, mantén

presionada la tecla Mayúsculas mientras haces clic en el icono de encendido. La computadora se reiniciará de nuevo.

o Cuando aparezca de nuevo, haz clic en "Solucionar problemas", luego en "Opciones avanzadas", "Configuración de inicio" y "Reiniciar".

o En la pantalla de opciones de inicio, presiona la tecla al lado de "Modo seguro con funciones de red" (será bien F5 o 5, dependiendo de tu computadora).


Windows 7 y versiones anteriores: haz clic en el menú "Inicio" y luego en la flecha al lado de "Apagar". Selecciona "Reiniciar". Cuando la computadora se apague y vuelva a iniciar, comienza a presionar la tecla F8 para acceder al menú de inicio. Usa las flechas para ir a "Modo seguro con funciones de red" y presiona Intro.

Iniciar el navegador para buscar extensiones o complementos sospechosos. Los adware a menudo toman la forma de una extensión o un complemento del navegador.

En Chrome: haz clic en el menú de Chrome (las tres líneas horizontales en la esquina superior derecha del navegador" y selecciona "Configuración". Haz clic en "Extensiones" y busca cualquier extensión que no reconozcas. En caso de que algo no te parezca familiar, haz clic en el icono de la papelera a su lado.

Internet Explorer: haz clic en "Herramientas" y luego en "Administrar complementos". Haz clic en "Todos los complementos" para ver una lista de todos los que haya instalados. Selecciona cualquiera que no reconozcas y haz clic en "Deshabilitar". Haz clic en "Cerrar" cuando acabes.

Firefox: comprueba los complementos haciendo clic en el menú "Abrir" (tres líneas horizontales) en la esquina superior derecha de la pantalla y seleccionando "Complementos". Después haz clic en "Extensiones" y busca cualquiera que no reconozcas. Para deshabilitar una extensión, haz clic sobre ella una vez y luego en "Desactivar".

Comprobar la página de inicio del navegador, motores de búsqueda y otros complementos por defecto. En ocasiones el adware secuestra la página de inicio y los motores de búsqueda por defecto.

Chrome: haz clic en "Configuración" en el menú de "Chrome" y luego haz clic en "Establecer páginas" (justo debajo de "Al abrir el navegador"). En caso de que veas cualquier cosa que no sea una página en blanco o cualquiera que tú hayas configurado para que se muestre al iniciar el navegador, selecciona la página en concreto y presiona la "X" para eliminarla.

o Asegúrate de que no se hayan cambiado los botones de Chrome. En el mismo menú de "Configuración", busca la sección "Aspecto". Selecciona "Mostrar el botón de página principal". Ahora haz clic en "Cambiar" y selecciona "Utilizar la página nueva pestaña". Haz clic en "Aceptar" para guardar los cambios.

o Comprueba los ajustes del motor de búsqueda haciendo clic en "Administrar motores de búsqueda", bajo "Buscar", en el menú "Configuración". Elige el motor de búsqueda de uses y selecciona "Establecer como predeterminado". Asegúrate de que la URL al lado derecho de la pantalla coincida con el nombre del motor de búsqueda. En caso de que veas Yahoo.com a la izquierda, pero la URL de la derecha comience con otra cosa diferente a search.yahoo.com, elimínalo con el marcador "X" en la pantalla.

Internet Explorer: haz clic en "Herramientas" y luego en "Administrar complementos". Selecciona "Motores de búsqueda" de la lista y elige el que conozcas y uses (Google, Bing, etc). En caso de que no reconozcas algo, haz clic sobre ello y luego en "Eliminar".


o De nuevo en el menú "Herramientas", selecciona "Opciones de Internet" y comprueba la "Página de inicio". La URL que aparezca en la casilla será la página de inicio por defecto del navegador. En caso de que no lo reconozcas, elimínala y selecciona "Utilizar pestaña nueva".

o Busca el icono de Internet Explorer en el escritorio (o el icono donde suelas hacer doble clic para iniciar el navegador). Usa el botón derecho del ratón para hacer clic una vez sobre el icono y selecciona "Propiedades". Ve a la pestaña "Acceso directo" y busca el campo con el nombre "Objetivo" En caso de que veas cualquier texto después de iexplore.exe, elimínalo (deja solo lo de iexplore.exe). Haz clic en "Aceptar".

Firefox: en el menú "Abrir", selecciona "Opciones" y luego en "Restaurar al valor por defecto". Haz clic en "Aceptar" para continuar.

o Para comprobar los ajustes del "Motor de búsqueda", haz clic en el menú "Abrir" y selecciona "Opciones". En la barra izquierda, haz clic en "Buscar" y configura tu motor de búsqueda predeterminado por uno seguro como Google o Bing. En caso de que no reconozcas algo que aparezca bajo "Buscadores con un clic", haz un clic sobre él y selecciona "Eliminar".

4.- Hijacking El hijacker tiene como función el secuestrar nuestro navegador de internet. Esta acción es posible debido a que los programadores de este tipo de programas, aprovechan las vulnerabilidades de Java dentro del Internet Explorer. Java tiene como particularidad el poder correr dentro de cualquier sistema operativo. Este hecho les permite a los programadores crear aplicaciones que puedan correr dentro de los sitios web, en donde ya no es necesario bajar plug-ing alguno. Este hecho permite, por ejemplo, instalar pequeñas aplicaciones como puede ser un contador e visitas, un reloj, una calculadora e incluso una Tienda en línea. Esta particularidad la han aprovechado distintos grupos de desarrolladores, no buen intencionados, quienes, dentro del código de sus sitios, agregan instrucciones las cuales pueden modificar nuestra página de inicio, página de búsqueda entre otros elementos. Aunque el secuestro del navegador sólo puede darse si se visitan las páginas de este tipo de personas, el riesgo comienza a crecer con el envío de correo electrónicos con temas engañosos, los cuales piden al usuario a cambio de instalar un programa de supuesta utilidad. Algunos sitios ya identificados como instaladores de hijackers son: MySearch MyWeb.com,

CoolWebSearcho Global-Finder.

Sin duda el evitar visitar sitios que puedan representar un riesgo o de dudosa reputación es la

primera acción para evitar se víctimas. A pesar de esto, todos los días surgen sitios con

apariencias inocentes, pero cuya finalidad es tomar por asalto nuestro navegador.

Los 5 principales síntomas de tener un Hijacking son: 1. Se nos cambia sola la página de inicio, error y búsqueda del navegador.


2. Se nos abren ventanitas pop-ups por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría son de temas pornográficos.

3. Barras de búsquedas de sitios como la de Hotbar, MyWebSearch etc, que no podemos eliminar.

4. Botones que se aparecen las barras de herramientas del navegador y no podemos sacarlos.

5. La navegación por la red se hace cada día más lenta.

5.- Keyloggers y Stealers Un keylogger es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet. Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener. Un Stealer (en español "ladrón de información") es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito. Roban información privada, pero sólo la que se encuentra guardada en el equipo. Al ejecutarse

comprueban los programas instalados en el equipo y si tienen contraseñas recordadas,

desencriptan esa información y la envían al creador.

–Eliminar malware:

Podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrará cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador. Otro signo de que un keylogger se está ejecutando en nuestro ordenador es el problema de la

tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal

sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas.

Algunos softwares que evitan los keyloggers y los stealers son:

GuardedID: proporciona una potente protección de los keyloggers. El sistema GuardedID moderna de cifrado de pulsaciones de teclas y la tecnología anti-keylogger protege contra el robo de identidad. Según varios expertos en investigación en seguridad informática, se encontró que aproximadamente el 70% de los keyloggers no son detectados por el software antivirus. Esto significa que incluso con el software antivirus actual no se detecta y elimina el 100% de los keyloggers instalados en el equipo.

AntiLogger: es un anti-keylogger con una protección proactiva y una tecnología de protección IntelliGuard basado en la nube. En tiempo real, utilizando análisis de comportamiento, que monitorea constantemente cualquiera de los elementos


sospechosos que actúan en su PC. El software es compatible con la mayoría de los navegadores.

KeyScrambler Personal: es un pequeño programa que proporciona un cifrado rápido y

preciso de los datos, introducido por un usuario mientras trabaja con los navegadores

Flock, IE, Firefox, proporcionando así protección contra keyloggers spyware.

6.- Botnets, Rogue y Criptovirus Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota. En los sistemas Windows y Mac OS la forma más habitual de expansión de los "robots" suele ser en el uso de cracks y archivos distribuidos descargados con algún tipo de cliente P2P. Este tipo de software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de Windows, etc. En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar. El Rogue Software es un tipo de programa informático malintencionado cuya principal finalidad es hacer creer que una computadora está infectada por algún tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo. A menos que el software Rogue sea demasiado nuevo, los antivirus y antispyware de mayor

renombre actualizados pueden evitar la instalación y la activación de los mismos. En caso de

que aún no haya sido detectado por ninguna empresa fabricante de productos antimalware,

será necesario hallar los archivos infectados y desinfectarlos de forma manual, lo que posee

una complejidad extrema.

Un programa que evita los botnets, rogue y criptovirus es RUBootted, controla la actividad de red y los procesos en ejecución en busca de patrones sospechosos. En caso de detectar actividad maligna, avisa al usuario y ofrece opciones para su eliminación. Entre las alternativas a RUBotted están la Herramienta de Eliminación de Software Malintencionado de Microsoft y demás vacunas gratuitas.

7.- Fichero autorun.inf El fichero autorun.inf ejecuta una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash. Se activa al hacer clic sobre el icono del medio de almacenamiento, o la ventana que presenta el sistema operativo, cualquier medio de almacenamiento es contaminado al conectar. Tiene los siguientes efectos: Errores en visualización o búsqueda con el Explorer. Así pues, cuando se intenta abrir una carpeta, el sistema operativo nos puede dar los siguientes mensajes y los siguientes problemas:

"Elija el programa que desea usar para abrir el siguiente archivo"

"No es posible hallar el archivo solicitado"

"Explorer.exe no responde"

"El computador presenta resultados de forma lenta"


"Según el tipo de virus, algunos ocupan toda la memoria RAM y empiezan a escribir en memoria Caché"

"En otros casos hace que los accesos directos, no ejecuten el programa elegido"

"En casos muy severos, evita que el sistema operativo logre iniciar, pues el mismo no encuentra sus archivos para inicio"

"Cualquier medio de almacenamiento es contaminado al conectar" Algunas de las medidas que se pueden tomar son:

Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección, con el fin de eliminarlo

Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo utiliza

Desactivación de la Auto ejecución del sistema operativo. Un programa que se puede utilizar para proteger de virus el autorun.inf es el USB Doctor es una utilidad desarrollada en base al estudio del malware que aprovecha los dispositivos de almacenamiento extraíble para propagarse. La tarea de USB Doctor es proteger a los dispositivos con infecciones de malware que se ejecutan al conectar el dispositivo a cualquier PC, impidiendo así su ejecución. USB Doctor vacuna su dispositivo contra los virus que se alojan en el autorun.inf y también contra variantes como la carpeta recycled o recycler, además USB Doctor tiene protección contra las nuevas variantes de propagación. Es importante señalar que USB Doctor no es un ANTIVIRUS, es decir ningún programa de este tipo lo es, su función principal es proteger contra infecciones automáticas evitando la propagación del virus a su dispositivo y la auto ejecución de estos.

8.- Herramientas de análisis antimalware Utilizaré el programa keylogger para ver todo lo que se escribe y se crea en el ordenador.

Al hacer clic en actualizar nos aparecerá la siguiente pantalla, deberemos dar a inicio para arrancar el programa. Mientras el programa funciona creo un fichero un fichero llamado SAD y dentro he escrito HOLA MUNDO. Para pausar el programa solo deberemos hacer clic sobre detener.


También pueden aparecer contraseñas, como ejemplo me he conectado a mi cuenta de gmail minetras Revealer Keylogger está funcionando.

A continuación, utilizaré el programa malwarebytes para ver si es capaz de detectar el keylogger.


Vemos que sí lo ha detectado.

Mientras esté en cuarentena el keylogger no será ningún peligro, pero aún así, lo podemos eliminar del ordenador.

Utilizaré el programa HouseCall, se trata de un explorador antivirus gratuito en línea que comprueba si un equipo se ha infectado con virus, spyware u otro tipo.


Aceptamos los términos del contrato de licencia.

Analizamos nuestro equipo.


Por último utilizaré el programa adwcleaner para eliminar cualquier adware del equio.

herramientas paliativas. antimalware€¦ · o cuando aparezca de nuevo, haz clic en...

Documents