Luis Alfonso Sánchez Brazales
HERRAMIENTAS PALIATIVAS
Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk.
Instalamos el entorno grafico
Luis Alfonso Sánchez Brazales
Hacemos un análisis en modo texto
Ahora en modo grafico
Luis Alfonso Sánchez Brazales
Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD que se
puede iniciar desde un CD o flash USB. Documenta dicho proceso.
Descargamos la versión para usb de la página oficial
Lo instalamos en un usb y arrancamos en el
Luis Alfonso Sánchez Brazales
Seleccionamos la primera opción
Seleccionamos la unidad que queremos analizar
Comienza el análisis
En tu ordenador, realiza un análisis antimalware a fondo (msconfig, procesos
dudosos ejecutándose, …etc) mediante el software de Microsoft : suite Sysinternals.
Indica en un documento todos las acciones que has realizado. Utiliza entre otros:
Autoruns y Process Explorer
http://technet.microsoft.com/es-es/sysinternals/bb545021
Abrimos ejecutar y escribimos msconfig
Luis Alfonso Sánchez Brazales
Aquí podemos ver los servicios
Los programas que se arrancan con Windows
Luis Alfonso Sánchez Brazales
Descargamos suite internals de su página oficial
Probamos autoruns para ver qué programas, procesos, servicios se inician con Windows
Luis Alfonso Sánchez Brazales
Con process explorer vemos una lista detallada de los procesos en ejecución
Con TCP view vemos los puertos abiertos
Luis Alfonso Sánchez Brazales
En tu ordenador, realiza un análisis antimalware a fondo, utilizando las herramientas
gratuitas de Trend Micro USA. Documento dicho proceso. Utiliza las herramientas:
HouseCall, Browser Guard 2011, HiJackThis y RUBotted,
http://es.trendmicro.com/es/products/personal/free-tools-and-services/
House call
Luis Alfonso Sánchez Brazales
Hijacks
Luis Alfonso Sánchez Brazales
Browser guard
Instala y utiliza el software de recuperación de pulsaciones de teclado denominado
Revealer Keylogger. Piensa como prevenir este software e informa en un
documento. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?.
http://www.malwarebytes.org
FREE KEYLOGER
Abrimos el programa e iniciamos la monitorización del sistema y pinchamos en hide para
ocultarlo.
Luis Alfonso Sánchez Brazales
Voy a entrar en varios sitios, en mi cuenta de tuenti, en el correo de Hotmail y voy a visitar
alguna página web.
En esta captura vemos lo que he escrito para entrar en mi correo electrónico.
En esta pantalla e capturado el inicio de sesión en tuenti
Luis Alfonso Sánchez Brazales
Realizamos un análisis con malwarebytes y vemos como lo detecta
Investiga en Internet el término : Hijacker. Cómo puedes eliminar el “Browser
hijacker”. ¿Qué efectos tiene sobre el sistema?.
El hijacker tiene como función el secuestrar nuestro navegador de internet. Esta acción es posible debido a que los programadores de este tipo de programas, aprovechan las vulnerabilidades de la Java dentro del Internet Explorer. ¿Cómo ocurre esto? Java, el lenguaje propiedad de Sun Microsystem tiene como particularidad el poder correr dentro de cualquier sistema operativo. Este hecho les permite a los programadores crear aplicaciones que puedan correr dentro de los sitios web, en donde ya no es necesario bajar plug-ing alguno. Este hecho permite, por ejemplo, instalar pequeñas aplicaciones como puede ser un contador e visitas, un reloj, una calculadora e incluso una Tienda en línea. Esta particularidad la han aprovechado distintos grupos de desarrolladores, no buen intencionados, quienes dentro del código de sus sitios, agregan instrucciones las cuales pueden modificar nuestra página de inicio, página de búsqueda entre otros elementos. Aunque el secuestro del navegador sólo puede darse si se visitan las páginas de este tipo de personas, el riesgo comienza a crecer con el envío de correo electrónicos con temas engañosos, los cuales piden al usuario a cambio de instalar un programa de supuesta utilidad. Algunos sitios ya identificado como instaladores de hijackers son: MySearch (www.mysearch.com), MyWeb.com, CoolWebSearch(www.coolwebsearch.com) o Global-Finder (www.global-finder.com). ¿Cómo evitar ser víctimas? La información es la primera herramienta de combate. Sin duda el evitar visitar sitios que puedan representar un riesgo o de dudosa reputación es la primera acción. A pesar de esto, todos los días surgen sitios con apariencias inocentes, pero cuya finalidad es tomar por asalto nuestro navegador.
Luis Alfonso Sánchez Brazales
Para esto una serie de medidas técnicas pueden ayudarnos si tenemos la firme sospecha de haber sido secuestrados. Los 5 principales síntomas de infección son: 1. Se nos cambia sola la página de inicio, error y búsqueda del navegador. 2. Se nos abren ventanitas pop-ups por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría son de temas pornográficos. 3. Barras de búsquedas de sitios como la de Alexa, Hotbar, MyWebSearch etc.. que no podemos eliminar. 4. Botones que se aparecen la barras de herramientas del navegador y no podemos sacarlos. 5. La navegación por la red se hace cada día más lenta.
Busca información sobre el fichero autorun.inf que poseen los dispositivos de
almacenamiento y cómo se camufla y opera malware a través de este archivo.
Es un archivo de texto que indica una función a seguir, sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash. ¿Cómo se propaga? Se lo activa al clikear sobre el icono del medio de almacenamiento, o la ventana que presenta el sistema operativo, cualquier medio de almacenamiento es contaminado al conectar. ¿Qué efecto tiene? Errores en visualización o búsqueda con el Explorer. Así pues, cuando se intenta abrir una carpeta, el sistema operativo nos puede dar los siguientes mensajes y los siguientes problemas: "Elija el programa que desea usar para abrir el siguiente archivo"
"No es posible hallar el archivo solicitado"
"Explorer.exe no responde"
"El computador presenta resultados de forma lenta"
"Según el tipo de virus, algunos ocupan toda la memoria RAM y empiezan a escribir en memoria Caché"
"En otros casos hace que los accesos directos, no ejecuten el programa elegido"
"En casos muy severos, evita que el sistema operativo logre iniciar, pues el mismo no encuentra sus archivos para inicio"
"Cualquier medio de almacenamiento es contaminado al conectar"
¿A qué tipo de sistemas operativos afecta? Windows 32-bit ¿Qué medidas de seguridad puede tomar? Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección, con el fin de eliminarlo
Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo utiliza
Desactivación de la Auto ejecución del sistema operativo.
Luis Alfonso Sánchez Brazales
¿Qué es la desactivación de la ejecución automática? Es el deshabilitamiento de una funcionalidad del sistema que es la de arrancar de manera automática programas de instalación de aplicaciones contenidas en CD-ROM, memorias USB y otros dispositivos extraíbles. ¿Cómo se puede realizar? La primera es: abrir "Mi PC", hacer click derecho en el icono de la unidad de CD y elegir "Propiedades" en el menú. Seleccionar la solapa "Reproducción automática" y marque "Seleccionar la acción que desea ejecutar" en el recuadro Acciones. Allí elegir la opción preferida. La opción más simple es ir a "Inicio" > "Ejecutar", escribir "gpedit.msc" y en la ventana abierta abrir la carpeta "Plantillas administrativas" del subtítulo "Configuración del equipo". Luego, elija "Sistema" y haga un doble clic en "Desactivar reproducción automática". Cerrar la ventana y listo. ¿Para qué sirve USB Vaccine? Es una herramienta que Panda pone a disposición de los usuarios para evitar la forma de infección más común en los dispositivos extraíbles como discos duros, pendrives, mp3... Su forma de trabajar es bastante sencilla y efectiva crea un fichero autorun.inf en el dispositivo y lo protege para que no se pueda modificar ni eliminar, de esa forma, aunque se copie un virus en este dispositivo, no se ejecutará de forma automática al conectar el dispositivo a un ordenador. También permite vacunar el ordenador para desactivar la ejecución automática tanto en dispositivos USB como CD/DVD, lo que ayuda a frenar la difusión de estos virus que la utilizan. Esta herramienta no suple a un antivirus que provea de protección permanente a nuestro sistema. ¿Qué programa podemos utilizar para realizar la desinfección? Adware
Avast
Avg