Herramientas paliativas

Comentarios

Transcripción

Herramientas paliativas
Tema 2
SAD
Herramientas paliativas
Vicente Sánchez Patón
I.E.S Gregorio Prieto
Tema 2 SAD
a)Instalar en Linux el ClamAV y su versión grafica Clamtk
Para instalar el ClamAV en nuestro equipo Ubuntu ejecutamos el siguiente
comando desde la consola como root:
Para instalar el Clamtk en nuestro equipo Ubuntu ejecutando el siguiente
comando desde la consola como root:
Vamos a realizar un escaneo primero en modo comando, para ello
ejecutáramos el siguiente comando:
Para realizar un análisis en modo grafico tenemos que abrir la aplicación
para ello ejecutamos el siguiente comando:
A continuación aparecerá la pantalla del programa en la cual podemos elegir
entre analizar un archivo o un directorio.
b)Utilizar un antimalware Live AVG Rescuse CD, que se pueda ejecutar
desde CD o USB.
Vamos a utilizar un antimalware que se ejecuta desde un CD, así pues
metemos el cd en nuestro ordenador y configuramos la BIOS, del mismo,
para que inicie desde el CD, reiniciamos el ordenador y la pagina inicial del
CD live es la siguiente, es para sistemas Linux:
.
Elegimos la primera opción para que cargue le programa del disco nos
aparecerá la siguiente ventana:
Elegimos la primera opción que nos aparecerá una pantalla donde elegir que
queremos escanear, elegiremos la tercera opción para analizar nuestro disco
duro, que elegiremos en la ventana donde nos aparecen los diferentes discos
que tengamos, si es el caso, le damos a intro y empezará el escaneo:
La pantalla del proceso de escaneo es la siguiente:
c) En tu ordenador, realiza un análisis antimalware a fondo (msconfig,
procesos dudosos ejecutándose, …etc) mediante el software de Microsoft :
suite Sysinternals. Indica en un documento todos las acciones que has
realizado. Utiliza entre otros: Autoruns y Process Explorer
Primero lo descargamos:
Una vez descargado es un zip, lo abrimos y vemos que tiene diferentes
ejecutables, entre los que se encuentran el Autoruns y el Process Explore:
Ejecutamos el autoruns, nos salta un asistente, donde tendremos que
aceptar los términos y saltara el programa en sí:
En esta pestaña podemos encontrar todos los programas que se ejecutan al
iniciar el ordenador, de esta manera podemos buscar programas
sospechosos en el arranque e intentar solucionar el problema.
Ahora probamos el Process Explorer, igual que antes nos saltara un
asistente para aceptar y términos y después el programa en si:
Este programa nos muestra los programas que se están ejecutando en
nuestro ordenador, algunos son propios del sistema y otros son aplicaciones
que nosotros hemos instalado.
d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las
herramientas gratuitas de Trend Micro USA. Documento dicho proceso.
Utiliza las herramientas: HouseCall, Browser Guard 2011, HiJackThis y
RUBotted,
Primero los descargamos:
HouseCall
HouseCall es una herramienta gratuita basada en la Web que está diseñada
para detectar en el PC una amplia gama de amenazas en seguridad de
Internet, como virus, gusanos, troyanos y spyware. También detecta las
vulnerabilidades del sistema y proporciona un enlace que le permite
descargar fácilmente los parches de seguridad que faltan. Después de cada
exploración, HouseCall entrega un informe detallado que identifica las
amenazas de seguridad detectadas en el equipo.
Ahora lo ejecutamos:
Una vez se abre la consola del programa será la siguiente:
En la pantalla principal vemos el botón para empezar el análisis y debajo del
pone configuración le damos, nos pareceré una ventana donde podemos
elegir que va analizar el programa, aremos un análisis personalizado
eligiendo una carpeta:
Aceptamos y analizamos ahora, cuando acabe nos aparecerá una ventana de
cómo ha ido el escaneo:
Browser Guard 3.0
Proteja de forma activa su explorador contra amenazas de Internet.
Browser Guard 3.0 previene la vulnerabilidad de día 0 y protege contra
JavaScript malintencionado que usa heurística avanzada y tecnologías de
emulación.
Empezamos la instalación:
Una vez instalado lo ejecutado, empezara a proteger nuestro equipo, para
ver el estado de este nos dirigimos a la pestaña que se encuentra abajo a al
derecha de los sitemas Windows le damos y veremos el icono del Browser
Guard, clicqueamos y le damos a la opción chek for update:
Nos aparecerá una ventana que nos dirá que estamos protegidos:
HiJackThis
Trend Micro HijackThis, ahora disponible en Source Forge, genera un
informe exhaustivo de la configuración del registro y de los archivos del
ordenador, lo que permite eliminar elementos del PC de forma selectiva.
También incluye herramientas para eliminar manualmente el malware del PC.
Unas ves descargadas lo ejecutamos:
Una vez aceptado los temimos, saldrá la consola del programa:
Le damos a la segundo opción para realizar un escaneo del sistema:
De esta manera podemos observar una lista de los registros del ordenado,
que podremos eliminar los que queramos.
RUBotted
RuBotted monitoriza su equipo en busca de infecciones potenciales y
actividades sospechosas asociadas con redes zombi. Redes zombi son
archivos malintencionados que habilitan a los delincuentes cibernéticos
controlar en secreto su equipo. Al descubrir una infección potencial,
RUBotted los identificará y limpiará con HouseCall.
Una vez descargado empezamos con la instalación:
Una vez instalado lo vemos que aparece en la parte inferior derecha de los
sistemas Windows:
Hacemos doble clic sobre él para ver el estado del equipo:
e)Instala y utiliza el software de recuperación de pulsaciones de teclado
denominado Revealer Keylogger. Piensa como prevenir este software e
informa en un documento. Utiliza el software Malwarebytes para
Windows. ¿Lo detecta?.
Revealer Keylooger es una utilidad que te permitirá controlar y grabar
todos los textos que se introducen en un ordenador. Textos como páginas
web, conversaciones e incluso usuarios y contraseñas.
Concretamente, el programa se encarga de registrar cualquier texto
seguido de la tecla Enter. Ya sea un texto introducido en el navegador, en un
e-mail, en un documento o en un programa de mensajería. Revealer
Keylogger lo guarda todo.
Una vez descargado lo instalmos:
Una vez instalado lo ejecutamos la consola del programa es la siguiente:
Dándole al botón rojo empezara a funcionar el programa, el resultado de la
escucha podría ser el siguiente:
Podemos ver que este usuario ha ido al Hotmail, su correo es
[email protected] y su contrasena es clave.
Para intentar detectar este programa utilizaremos el malwarebytes.
Malwarebytes Anti-Malware (MBAM) es un antiespías gratuito.
Malwarebytes Anti-Malware es capaz de detectar y erradicar programas
espía, falsos antivirus y todo tipo de malware y spyware no detectado por
los antivirus tradicionales.
Una vez descargado lo instalamos:
Una vez instalado lo ejecutamos, la consola del programa es la siguiente:
Con el revealer keylogger activado, hacemos un análisis rápido del sistema,
con el malwarebytes:
Una vez terminado el escaneo le damos al boto mostrar resultados:
Vemos que nos ha detectado el keylogger que tenemos activo, así que
podemos decir que malwarebytes es un programa que nos detecta spyware.
Dándole al botón eliminar seleccionados, nos pedira que reiniciemos el
sistema, así que lo reiniciamos:
f)Investiga en Internet el término : Hijacker. Cómo puedes eliminar el
“Browser hijacker”. ¿Qué efectos tiene sobre el sistema?.
Un "browser hijacker" es un programa informático que modifica tu
navegador de forma que altera ciertos aspectos de su configuración. El
síntoma más habitual es el cambio de la página de inicio (la página que te
sale nada más abrir el navegador). Además, te suelen redireccionar a
portales de búsqueda donde consiguen dinero según el número de visitantes.
Una mera de librarse de este virsu es localizando sus ficheros d ejecución
en nuestro sitema y eliminarlos, para ellos podemos usar diferente
herramientas, como alguna das dichas antriormente como puede ser el
HiJackThis.
Otro programa recomendado para esta labor puede ser el alistara, o
setecta y eleimna los brwoser hijacker.
g)Busca información sobre el fichero autorun.inf que poseen los
dispositivos de almacenamiento y cómo se camufla y opera malware a través
de este archivo.
¿Cómo se propaga?¿Qué efecto tiene?
Vamos a explicar de forma general cómo se propaga un virus de autorun en
un equipo ya infectado con alguna variante del los virus de autorun.
Lógicamente, como ya hemos dicho, lo explicaremos de forma general
porque existen centenares de variantes y, mientras realizamos este
artículo, se estarán desarrollando nuevas, algunas no tendrán mayor
trascendencia, en cambio otras sí.
Una vez que sabemos cómo gestionan los sistemas Microsoft Windows el
fichero autorun.inf será bastante sencillo entender el método de
propagación de los virus de autorun o usb. Estos virus están desarrollados o
programados para que, una vez infectado un equipo, comprueben
continuamente (mediante diferentes métodos) si se ha introducido un lápiz
de memoria (pendrive) en el equipo. Si el usuario introduce un lápiz de
memoria y tiene el equipo infectado con uno de estos virus, el virus se
replica en el lápiz, realiza una copia de sí mismo en el lápiz de memoria de la
siguiente forma (el método puede ser diferente en función de la variante
del virus):
1. Crea una carpeta o varias y las marca con el atributo de ocultas en el
pendrive (ó lápiz de memoria). Por ejemplo, en nuestro laboratorio hemos
aislado un equipo con una de estas variantes y, tras introducir un pendrive,
estas son las carpetas que ha creado:
falschyng
JYJHA
RECYCLER
run
Todas ellas ocultas, para verlas habría que acceder a "Herramientas" "Opciones de carpeta" y marcar "Mostrar archivos, carpetas y unidades
ocultas" (en Windows 7). Hay que tener en cuenta que si nuestro equipo está
infectado con alguna de estas variantes, es muy posible que al cerrar la
ventana de opciones de carpeta y modificar el parámetro anterior, el virus
vuelva a desmarcar la opción para que no veamos las carpetas ocultas.
Muchos de estos virus, una vez que consiguen infectar el equipo y quedan
residentes, impiden que el usuario pueda cambiar la opción anterior de
mostrar las carpetas y archivos ocultos:
2. En una de las carpetas anteriores, el virus hace una copia de sí mismo,
creando un fichero de nombre, normalmente, aleatorio, en la prueba de
laboratorio nos creo el fichero "ketonneker.exe" en la carpeta "falschyng".
3. En el directorio raíz del pendrive, el virus crea el archivo "autorun.inf" y,
además, con el atributo de oculto (a veces también el de sólo lectura y
sistema para que no pueda ser eliminado directamente). En dicho fichero
"autorun.inf", introduce la cadena de texto:
[AutoRun]
Open=falschyng/ketonneker.exe
De esta forma tan sencilla, cuando el usuario introduzca el pendrive
infectado en otro equipo, si tiene activa la característica de reproducción
automática, se ejecutará el fichero ketonneker.exe y realizará la infección
del equipo anfitrión.
Hay que tener en cuenta que algunas variantes ni siquiera crean carpetas
ocultas, crear el fichero con el virus oculto en el directorio raíz del
pendrive. Estas variaciones en el comportamiento dependerán de la variante
del virus o troyano.
¿A qué tipo de sistemas operativos afecta?
Afecta a los sistemas operativos Windows
¿Qué medidas de seguridad puede tomar?
Eliminar, desintectar y limpiar un equipo con un virus de autorun
El procedimiento de desinfección de un equipo infectado con un virus
autorun puede ser muy diferente en función de la variante del virus que
tengamos. Además, el proceso de limpieza y desinfección puede ser
complicado, por ello recomendamos usar alguna herramienta de las
existentes para realizar esta tarea, muchos antivirus suelen publicar de
forma gratuita herramientas para eliminar este tipo de virus.
Otra de las opciones es instalar un antivirus (gratuito si no tenemos
presupuesto) que permita programar un análisis en el inicio, de forma que
analice y elimine cualquier virus antes de que se cargue el sistema
operativo y, por tanto, el virus. Por ejemplo Avast Home admite esta opción.
Es casi necesario tener un antivirus actualizado y realizar un análisis
completo del equipo, pues estos virus suelen guardarse en carpetas
diferentes y con nombres diferentes cada vez, muy difíciles de identificar
a simple vista y puesto que los nombres cambian, no os sevirá buscarlos en
"Internet". Por ello es recomendable o bien instalar un antivirus o bien
ejecutar algún antivirus online para que, al menos, nos indique dónde están
los ficheos con el virus.
Si el antivirus no es capaz de eliminar los ficheros infectados (normalmente
suelen poder y si no pueden suelen indicar que en el próximo reinicio de
sistema serán eliminados) deberemos eliminarlos manualmente. Teniendo en
cuenta que si el virus está residente no podremos eliminarlo salvo que o bien
arranquemos con un CD de instalación o bien iniciemos el equipo en modo a
prueba de fallos. De esta forma el virus, normalmente, no está residente y
puede ser eliminado el fichero que lo ejecuta.
Tras limpiar el equipo, recomendamos encarecidamente seguir estos
consejos para evitar una nueva infección:
Limpiar los pendrives y unidades extraíbles infectados con el virus de
autorun o usb
Explicaremos ahora cómo limpiar un pendrive infectado con el virus de
forma manual. Puesto que el virus crea todos sus ficheros y carpetas
ocultas y puesto que, normalmente, desactiva la opción de mostrar archivos
y carpetas ocultos, abriremos una ventana de MS-DOS, desde "Inicio" "Ejecutar", escribiremos "cmd" y pulsaremos "Aceptar", a continuación
escribiremos el comando:
D:
(o la letra de unidad correspondiente al pendrive o disco extraíble)
Una vez en la unidad ejecutaremos el comando:
attrib *.*
Este comando de MS-DOS nos mostrará todos los archivos ocultos, de sólo
lectura y de sistema del pendrive. Si aparece algo así:
A SHR D:/autorun.inf
A SH D:/xxxx.exe
(Donde "xxxx.exe" puede ser cualquier nombre o incluso estar dentro de
una carpeta)
Probablemente sea indicativo de que el pendrive o unidad está infectado.
Para eliminar estos ficheros habrá que quitarles el atributo de sistema (S) y
de sólo lectura (R), de lo contrario no será posible, para ello ejecutaremos
el comando:
attrib -s -h -r D:/autorun.inf
Repetiremos el paso anterior con todos los archivos ejecutables del
pendrive con los antributos anteriores y que sepamos o sospechemos que
puedan ser virus:
attrib -s -h -r D:/xxxx.exe
Ahora podremos eliminar los archivos del virus con el comando:
erase nombre_archivo
Con lo anterior abremos limpiado el pendrive o unidad extraíble infectada.
¿Qué es la desactivación de la ejecución automática? ¿Cómo se puede
realizar?
Hasta hace poco, en concreto hasta Microsoft Windows 7, Microsoft incluía
una característica para todos sus sistemas operativos (Windows XP,
Windows Vista, Windows Server 2000, Windows Server 2003, Windows
Server 2008, ...) llamada Funcionalidad de Ejecución Automática. Esta
característica permitía por defecto autoejecutar, según la configuración
del autorun de un dispositivo (pendrive ó lápiz de memoria, CD, DVD, etc.)
insertado en el PC, el fichero que en el autorun se hubiese indicado, esta
funcionalidad incluso aunque el dispositivo insertado no tuviera un fichero
de autorun.inf lo escaneaba buscando el tipo de contenido del CD y
mostrando al usuario una ventana con las acciones a realizar (según el
contenido encontrado: vídeos, música, programas, etc.).
Para el caso de Microsoft Windows 98, no existía la funcionalidad de
ejecución automática, pero sí el autoarranque si el dispositivo insertado
incluía el fichero autorun.inf. Si se introducía un CD con el fichero
autorun.inf configurado para ejecutar algún fichero del CD se
autoejecutaba al insertarse. Esta característica era usada por los
desarrolladores y distribuidores de software quienes creaban el CD con el
fichero autorun.inf configurado para ejecutar el setup.exe de instalación de
la aplicación. De esta forma, el usuario sólo tenía que introducir el CD de la
aplicación adquirida y el instalador de ésta se ejecutaba automáticamente.
Con Windows XP y Windows Server 2000, al isertar un CD, DVD o lápiz de
memoria USB, el sistema, por defecto, analizaba el contenido del dispositivo
introducido, si encontraba el fichero autorun.inf procedía según su
contenido, sino buscaba un fichero ejecutable en el raíz, de encontrarlo lo
ejecutaba:
Este comportamiento es muy peligroso hoy en día y es muy usado para la
propagación de virus.
Para el caso de Windows Vista y Windows Server 2003, el funcionamiento
de la característica de ejecución automática será similar al de Windows XP,
aunque en estos sistemas operativos esta característica analiza el contenido
del dispositivo introducido y muestra una ventana como esta:
En Windows Vista no se ejecuta directamente el fichero indicando en el
autorun.inf, aunque si se marca "Realizar siempre esto para software y
juegos" sí se ejecutará.
Pulsando en "Predeterminar la reproducción automática en el Panel de
control" nos mostrará que seleccionemos la acción a realizar según el tipo de
contenido del CD o USB introducido, desmarcando "Usar la reproducción
automática para todos los medios y dispositivos" desactivaremos la
reproducción automática:
Para el caso de Windows 7 no nos permitirá ejecutar el fichero indicado en
el autorun.inf, sólo nos permitirá abrir la carpeta. En el caso de Windows 7,
Microsoft, debido a la proliferación de los virus de autorun o usb, decidió no
permitir esta opción de reproducción automática y está desactivada:
Pulsando en la ventana anterior en "Ver más opciones de Reproducción
automática en el Panel de control" podremos seleccionar qué acción realizar
según el tipo de contenido del CD o USB introducido. Para el caso de
"Software y juegos" es recomendable marcar "No realizar ninguna acción"
para evitar la infección por alguno de estos virus de autorun o usb:
¿Para qué sirve USB Vaccine?.
Panda USB Vaccine es una solución gratuita para evitar la propagación de
malware a través de unidades USB. Para ello, lleva a cabo una doble
protección preventiva, o vacuna, tanto del mismo PC para deshabilitar la
funcionalidad AutoRun, como de unidades y memorias USB individuales.
¿Qué programa podemos utilizar para realizar la desinfección?.
Podemos utilizar una gran variedad de altimalware para eliminar el
autorun.inf de nuestro pen drive, como por ejemplo:
Norton 360, SpeedUpMyPc 20012, Autorun Eater 2.6, Anti-bug USB
Master 3.0, etc.

Documentos relacionados

practicas 1 herramientas paliativas-tema 2 sad

practicas 1 herramientas paliativas-tema 2 sad g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. ¿Cómo se propaga? ¿Qué efecto tiene? ¿A ...

Más detalles