Tema 2 SAD

Vicente Sánchez Patón

I.E.S Gregorio Prieto

Tema 2 SAD

Herramientas paliativas

a)Instalar en Linux el ClamAV y su versión grafica Clamtk

Para instalar el ClamAV en nuestro equipo Ubuntu ejecutamos el siguiente

comando desde la consola como root:

Para instalar el Clamtk en nuestro equipo Ubuntu ejecutando el siguiente

comando desde la consola como root:

Vamos a realizar un escaneo primero en modo comando, para ello

ejecutáramos el siguiente comando:

Para realizar un análisis en modo grafico tenemos que abrir la aplicación

para ello ejecutamos el siguiente comando:

A continuación aparecerá la pantalla del programa en la cual podemos elegir

entre analizar un archivo o un directorio.

b)Utilizar un antimalware Live AVG Rescuse CD, que se pueda ejecutar

desde CD o USB.

Vamos a utilizar un antimalware que se ejecuta desde un CD, así pues

metemos el cd en nuestro ordenador y configuramos la BIOS, del mismo,

para que inicie desde el CD, reiniciamos el ordenador y la pagina inicial del

CD live es la siguiente, es para sistemas Linux:

.

Elegimos la primera opción para que cargue le programa del disco nos

aparecerá la siguiente ventana:

Elegimos la primera opción que nos aparecerá una pantalla donde elegir que

queremos escanear, elegiremos la tercera opción para analizar nuestro disco

duro, que elegiremos en la ventana donde nos aparecen los diferentes discos

que tengamos, si es el caso, le damos a intro y empezará el escaneo:

La pantalla del proceso de escaneo es la siguiente:

c) En tu ordenador, realiza un análisis antimalware a fondo (msconfig,

procesos dudosos ejecutándose, …etc) mediante el software de Microsoft :

suite Sysinternals. Indica en un documento todos las acciones que has

realizado. Utiliza entre otros: Autoruns y Process Explorer

Primero lo descargamos:

Una vez descargado es un zip, lo abrimos y vemos que tiene diferentes

ejecutables, entre los que se encuentran el Autoruns y el Process Explore:

Ejecutamos el autoruns, nos salta un asistente, donde tendremos que

aceptar los términos y saltara el programa en sí:

En esta pestaña podemos encontrar todos los programas que se ejecutan al

iniciar el ordenador, de esta manera podemos buscar programas

sospechosos en el arranque e intentar solucionar el problema.

Ahora probamos el Process Explorer, igual que antes nos saltara un

asistente para aceptar y términos y después el programa en si:

Este programa nos muestra los programas que se están ejecutando en

nuestro ordenador, algunos son propios del sistema y otros son aplicaciones

que nosotros hemos instalado.

d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las

herramientas gratuitas de Trend Micro USA. Documento dicho proceso.

Utiliza las herramientas: HouseCall, Browser Guard 2011, HiJackThis y

RUBotted,

Primero los descargamos:

HouseCall

HouseCall es una herramienta gratuita basada en la Web que está diseñada

para detectar en el PC una amplia gama de amenazas en seguridad de

Internet, como virus, gusanos, troyanos y spyware. También detecta las

vulnerabilidades del sistema y proporciona un enlace que le permite

descargar fácilmente los parches de seguridad que faltan. Después de cada

exploración, HouseCall entrega un informe detallado que identifica las

amenazas de seguridad detectadas en el equipo.

Ahora lo ejecutamos:

Una vez se abre la consola del programa será la siguiente:

En la pantalla principal vemos el botón para empezar el análisis y debajo del

pone configuración le damos, nos pareceré una ventana donde podemos

elegir que va analizar el programa, aremos un análisis personalizado

eligiendo una carpeta:

Aceptamos y analizamos ahora, cuando acabe nos aparecerá una ventana de

cómo ha ido el escaneo:

Browser Guard 3.0

Proteja de forma activa su explorador contra amenazas de Internet.

Browser Guard 3.0 previene la vulnerabilidad de día 0 y protege contra

JavaScript malintencionado que usa heurística avanzada y tecnologías de

emulación.

Empezamos la instalación:

Una vez instalado lo ejecutado, empezara a proteger nuestro equipo, para

ver el estado de este nos dirigimos a la pestaña que se encuentra abajo a al

derecha de los sitemas Windows le damos y veremos el icono del Browser

Guard, clicqueamos y le damos a la opción chek for update:

Nos aparecerá una ventana que nos dirá que estamos protegidos:

HiJackThis

Trend Micro HijackThis, ahora disponible en Source Forge, genera un

informe exhaustivo de la configuración del registro y de los archivos del

ordenador, lo que permite eliminar elementos del PC de forma selectiva.

También incluye herramientas para eliminar manualmente el malware del PC.

Unas ves descargadas lo ejecutamos:

Una vez aceptado los temimos, saldrá la consola del programa:

Le damos a la segundo opción para realizar un escaneo del sistema:

De esta manera podemos observar una lista de los registros del ordenado,

que podremos eliminar los que queramos.

RUBotted

RuBotted monitoriza su equipo en busca de infecciones potenciales y

actividades sospechosas asociadas con redes zombi. Redes zombi son

archivos malintencionados que habilitan a los delincuentes cibernéticos

controlar en secreto su equipo. Al descubrir una infección potencial,

RUBotted los identificará y limpiará con HouseCall.

Una vez descargado empezamos con la instalación:

Una vez instalado lo vemos que aparece en la parte inferior derecha de los

sistemas Windows:

Hacemos doble clic sobre él para ver el estado del equipo:

e)Instala y utiliza el software de recuperación de pulsaciones de teclado

denominado Revealer Keylogger. Piensa como prevenir este software e

informa en un documento. Utiliza el software Malwarebytes para

Windows. ¿Lo detecta?.

Revealer Keylooger es una utilidad que te permitirá controlar y grabar

todos los textos que se introducen en un ordenador. Textos como páginas

web, conversaciones e incluso usuarios y contraseñas.

Concretamente, el programa se encarga de registrar cualquier texto

seguido de la tecla Enter. Ya sea un texto introducido en el navegador, en un

e-mail, en un documento o en un programa de mensajería. Revealer

Keylogger lo guarda todo.

Una vez descargado lo instalmos:

Una vez instalado lo ejecutamos la consola del programa es la siguiente:

Dándole al botón rojo empezara a funcionar el programa, el resultado de la

escucha podría ser el siguiente:

Podemos ver que este usuario ha ido al Hotmail, su correo es

ejemplo@hotmail.es y su contrasena es clave.

Para intentar detectar este programa utilizaremos el malwarebytes.

Malwarebytes Anti-Malware (MBAM) es un antiespías gratuito.

Malwarebytes Anti-Malware es capaz de detectar y erradicar programas

espía, falsos antivirus y todo tipo de malware y spyware no detectado por

los antivirus tradicionales.

Una vez descargado lo instalamos:

Una vez instalado lo ejecutamos, la consola del programa es la siguiente:

Con el revealer keylogger activado, hacemos un análisis rápido del sistema,

con el malwarebytes:

Una vez terminado el escaneo le damos al boto mostrar resultados:

Vemos que nos ha detectado el keylogger que tenemos activo, así que

podemos decir que malwarebytes es un programa que nos detecta spyware.

Dándole al botón eliminar seleccionados, nos pedira que reiniciemos el

sistema, así que lo reiniciamos:

f)Investiga en Internet el término : Hijacker. Cómo puedes eliminar el

“Browser hijacker”. ¿Qué efectos tiene sobre el sistema?.

Un "browser hijacker" es un programa informático que modifica tu

navegador de forma que altera ciertos aspectos de su configuración. El

síntoma más habitual es el cambio de la página de inicio (la página que te

sale nada más abrir el navegador). Además, te suelen redireccionar a

portales de búsqueda donde consiguen dinero según el número de visitantes.

Una mera de librarse de este virsu es localizando sus ficheros d ejecución

en nuestro sitema y eliminarlos, para ellos podemos usar diferente

herramientas, como alguna das dichas antriormente como puede ser el

HiJackThis.

Otro programa recomendado para esta labor puede ser el alistara, o

setecta y eleimna los brwoser hijacker.

g)Busca información sobre el fichero autorun.inf que poseen los

dispositivos de almacenamiento y cómo se camufla y opera malware a través

de este archivo.

¿Cómo se propaga?¿Qué efecto tiene?

Vamos a explicar de forma general cómo se propaga un virus de autorun en

un equipo ya infectado con alguna variante del los virus de autorun.

Lógicamente, como ya hemos dicho, lo explicaremos de forma general

porque existen centenares de variantes y, mientras realizamos este

artículo, se estarán desarrollando nuevas, algunas no tendrán mayor

trascendencia, en cambio otras sí.

Una vez que sabemos cómo gestionan los sistemas Microsoft Windows el

fichero autorun.inf será bastante sencillo entender el método de

propagación de los virus de autorun o usb. Estos virus están desarrollados o

programados para que, una vez infectado un equipo, comprueben

continuamente (mediante diferentes métodos) si se ha introducido un lápiz

de memoria (pendrive) en el equipo. Si el usuario introduce un lápiz de

memoria y tiene el equipo infectado con uno de estos virus, el virus se

replica en el lápiz, realiza una copia de sí mismo en el lápiz de memoria de la

siguiente forma (el método puede ser diferente en función de la variante

del virus):

1. Crea una carpeta o varias y las marca con el atributo de ocultas en el

pendrive (ó lápiz de memoria). Por ejemplo, en nuestro laboratorio hemos

aislado un equipo con una de estas variantes y, tras introducir un pendrive,

estas son las carpetas que ha creado:

falschyng JYJHA

RECYCLER run

Todas ellas ocultas, para verlas habría que acceder a "Herramientas" -

"Opciones de carpeta" y marcar "Mostrar archivos, carpetas y unidades

ocultas" (en Windows 7). Hay que tener en cuenta que si nuestro equipo está

infectado con alguna de estas variantes, es muy posible que al cerrar la

ventana de opciones de carpeta y modificar el parámetro anterior, el virus

vuelva a desmarcar la opción para que no veamos las carpetas ocultas.

Muchos de estos virus, una vez que consiguen infectar el equipo y quedan

residentes, impiden que el usuario pueda cambiar la opción anterior de

mostrar las carpetas y archivos ocultos:

2. En una de las carpetas anteriores, el virus hace una copia de sí mismo,

creando un fichero de nombre, normalmente, aleatorio, en la prueba de

laboratorio nos creo el fichero "ketonneker.exe" en la carpeta "falschyng".

3. En el directorio raíz del pendrive, el virus crea el archivo "autorun.inf" y,

además, con el atributo de oculto (a veces también el de sólo lectura y

sistema para que no pueda ser eliminado directamente). En dicho fichero

"autorun.inf", introduce la cadena de texto:

[AutoRun] Open=falschyng/ketonneker.exe

De esta forma tan sencilla, cuando el usuario introduzca el pendrive

infectado en otro equipo, si tiene activa la característica de reproducción

automática, se ejecutará el fichero ketonneker.exe y realizará la infección

del equipo anfitrión.

Hay que tener en cuenta que algunas variantes ni siquiera crean carpetas

ocultas, crear el fichero con el virus oculto en el directorio raíz del

pendrive. Estas variaciones en el comportamiento dependerán de la variante

del virus o troyano.

¿A qué tipo de sistemas operativos afecta?

Afecta a los sistemas operativos Windows

¿Qué medidas de seguridad puede tomar?

Eliminar, desintectar y limpiar un equipo con un virus de autorun

El procedimiento de desinfección de un equipo infectado con un virus

autorun puede ser muy diferente en función de la variante del virus que

tengamos. Además, el proceso de limpieza y desinfección puede ser

complicado, por ello recomendamos usar alguna herramienta de las

existentes para realizar esta tarea, muchos antivirus suelen publicar de

forma gratuita herramientas para eliminar este tipo de virus.

Otra de las opciones es instalar un antivirus (gratuito si no tenemos

presupuesto) que permita programar un análisis en el inicio, de forma que

analice y elimine cualquier virus antes de que se cargue el sistema

operativo y, por tanto, el virus. Por ejemplo Avast Home admite esta opción.

Es casi necesario tener un antivirus actualizado y realizar un análisis

completo del equipo, pues estos virus suelen guardarse en carpetas

diferentes y con nombres diferentes cada vez, muy difíciles de identificar

a simple vista y puesto que los nombres cambian, no os sevirá buscarlos en

"Internet". Por ello es recomendable o bien instalar un antivirus o bien

ejecutar algún antivirus online para que, al menos, nos indique dónde están

los ficheos con el virus.

Si el antivirus no es capaz de eliminar los ficheros infectados (normalmente

suelen poder y si no pueden suelen indicar que en el próximo reinicio de

sistema serán eliminados) deberemos eliminarlos manualmente. Teniendo en

cuenta que si el virus está residente no podremos eliminarlo salvo que o bien

arranquemos con un CD de instalación o bien iniciemos el equipo en modo a

prueba de fallos. De esta forma el virus, normalmente, no está residente y

puede ser eliminado el fichero que lo ejecuta.

Tras limpiar el equipo, recomendamos encarecidamente seguir estos

consejos para evitar una nueva infección:

Limpiar los pendrives y unidades extraíbles infectados con el virus de

autorun o usb

Explicaremos ahora cómo limpiar un pendrive infectado con el virus de

forma manual. Puesto que el virus crea todos sus ficheros y carpetas

ocultas y puesto que, normalmente, desactiva la opción de mostrar archivos

y carpetas ocultos, abriremos una ventana de MS-DOS, desde "Inicio" -

"Ejecutar", escribiremos "cmd" y pulsaremos "Aceptar", a continuación

escribiremos el comando:

D:

(o la letra de unidad correspondiente al pendrive o disco extraíble)

Una vez en la unidad ejecutaremos el comando:

attrib *.*

Este comando de MS-DOS nos mostrará todos los archivos ocultos, de sólo

lectura y de sistema del pendrive. Si aparece algo así:

A SHR D:/autorun.inf A SH D:/xxxx.exe

(Donde "xxxx.exe" puede ser cualquier nombre o incluso estar dentro de

una carpeta)

Probablemente sea indicativo de que el pendrive o unidad está infectado.

Para eliminar estos ficheros habrá que quitarles el atributo de sistema (S) y

de sólo lectura (R), de lo contrario no será posible, para ello ejecutaremos

el comando:

attrib -s -h -r D:/autorun.inf

Repetiremos el paso anterior con todos los archivos ejecutables del

pendrive con los antributos anteriores y que sepamos o sospechemos que

puedan ser virus:

attrib -s -h -r D:/xxxx.exe

Ahora podremos eliminar los archivos del virus con el comando:

erase nombre_archivo

Con lo anterior abremos limpiado el pendrive o unidad extraíble infectada.

¿Qué es la desactivación de la ejecución automática? ¿Cómo se puede

realizar?

Hasta hace poco, en concreto hasta Microsoft Windows 7, Microsoft incluía

una característica para todos sus sistemas operativos (Windows XP,

Windows Vista, Windows Server 2000, Windows Server 2003, Windows

Server 2008, ...) llamada Funcionalidad de Ejecución Automática. Esta

característica permitía por defecto autoejecutar, según la configuración

del autorun de un dispositivo (pendrive ó lápiz de memoria, CD, DVD, etc.)

insertado en el PC, el fichero que en el autorun se hubiese indicado, esta

funcionalidad incluso aunque el dispositivo insertado no tuviera un fichero

de autorun.inf lo escaneaba buscando el tipo de contenido del CD y

mostrando al usuario una ventana con las acciones a realizar (según el

contenido encontrado: vídeos, música, programas, etc.).

Para el caso de Microsoft Windows 98, no existía la funcionalidad de

ejecución automática, pero sí el autoarranque si el dispositivo insertado

incluía el fichero autorun.inf. Si se introducía un CD con el fichero

autorun.inf configurado para ejecutar algún fichero del CD se

autoejecutaba al insertarse. Esta característica era usada por los

desarrolladores y distribuidores de software quienes creaban el CD con el

fichero autorun.inf configurado para ejecutar el setup.exe de instalación de

la aplicación. De esta forma, el usuario sólo tenía que introducir el CD de la

aplicación adquirida y el instalador de ésta se ejecutaba automáticamente.

Con Windows XP y Windows Server 2000, al isertar un CD, DVD o lápiz de

memoria USB, el sistema, por defecto, analizaba el contenido del dispositivo

introducido, si encontraba el fichero autorun.inf procedía según su

contenido, sino buscaba un fichero ejecutable en el raíz, de encontrarlo lo

ejecutaba:

Este comportamiento es muy peligroso hoy en día y es muy usado para la

propagación de virus.

Para el caso de Windows Vista y Windows Server 2003, el funcionamiento

de la característica de ejecución automática será similar al de Windows XP,

aunque en estos sistemas operativos esta característica analiza el contenido

del dispositivo introducido y muestra una ventana como esta:

En Windows Vista no se ejecuta directamente el fichero indicando en el

autorun.inf, aunque si se marca "Realizar siempre esto para software y

juegos" sí se ejecutará.

Pulsando en "Predeterminar la reproducción automática en el Panel de

control" nos mostrará que seleccionemos la acción a realizar según el tipo de

contenido del CD o USB introducido, desmarcando "Usar la reproducción

automática para todos los medios y dispositivos" desactivaremos la

reproducción automática:

Para el caso de Windows 7 no nos permitirá ejecutar el fichero indicado en

el autorun.inf, sólo nos permitirá abrir la carpeta. En el caso de Windows 7,

Microsoft, debido a la proliferación de los virus de autorun o usb, decidió no

permitir esta opción de reproducción automática y está desactivada:

Pulsando en la ventana anterior en "Ver más opciones de Reproducción

automática en el Panel de control" podremos seleccionar qué acción realizar

según el tipo de contenido del CD o USB introducido. Para el caso de

"Software y juegos" es recomendable marcar "No realizar ninguna acción"

para evitar la infección por alguno de estos virus de autorun o usb:

¿Para qué sirve USB Vaccine?.

Panda USB Vaccine es una solución gratuita para evitar la propagación de

malware a través de unidades USB. Para ello, lleva a cabo una doble

protección preventiva, o vacuna, tanto del mismo PC para deshabilitar la

funcionalidad AutoRun, como de unidades y memorias USB individuales.

¿Qué programa podemos utilizar para realizar la desinfección?.

Podemos utilizar una gran variedad de altimalware para eliminar el

autorun.inf de nuestro pen drive, como por ejemplo:

Norton 360, SpeedUpMyPc 20012, Autorun Eater 2.6, Anti-bug USB

Master 3.0, etc.