jueves, 12 de enero de 2017

Tema 4. Ejercicio 6

Busca información sobre dos ejemplos actuales y reales muy peligrosos de códigos maliciosos o malware, realiza primero una breve definición y posteriormente analiza y explica: nombre del malware, archivo o método de propagación e infección, mecanismo de reparación manual.


Spyware: Viene de spy que significa espía, y ware significa programa. Recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. Tiene diferentes maneras de propagarse:

- Por medio de otros ejemplares de malware

- A través de la instalación de controles ActiveX procedentes de fuentes poco fiables o inseguras.

- Cuando se visita una página web que contiene código diseñado para aprovechar una vulnerabilidad existente en el ordenador del usuario.

- A través de la instalación de programas freeware o shareware.

Eliminar spyware manualmente:

1.- Apaga la computadora y retira el disco duro.

2.- Si tienes un conector de disco duro externos, entonces usa este y evita los dos pasos siguientes.

3.- Apaga la computadora y luego realiza la conexión del disco duro en la computadora sana.

4.- Enciende la computadora que realizará la limpieza. Asegúrate que vaya a iniciar en el sistema operativo correcto y no te del disco duro infectado.

5.- Asegúrate que todos los archivos sean visibles. Ve al “Panel de control” -> "Opciones de carpeta", haz clic en la pestaña:

- Habilita que todo el contenido sea visible en las carpetas.
- Permite que todos los archivos ocultos sean visibles.
- Permite que las extensiones de archivos sean visibles.
- Permite que los archivos de sistema sean visibles.



6.- Toma nota de la letra del disco duro. Para este artículo vamos a asumir que es la letra F:

7.- Limpia tus archivos temporales. Una vez que los hayas limpiado, hay todavía algunos archivos que tienes que ver. Es importante que limpies la caché de todos tus navegadores. Borra los archivos, pero no las carpetas.

8.- Asegúrate que tu papelera de reciclaje está completamente limpia.

9.- Intenta crear una copia de seguridad de tus archivos especiales en el disco duro de la computadora limpia. Envía todo el contenido de la carpeta personal y puedes buscar los archivos de guardado de juegos en caso que los tengas.

10.- Usa un antivirus y un antispyware para poder hacer una revisión del disco duro infectado..

Usa Spybot Search and Destroy y Lavasoft Adaware. Es importante que uses los dos programas para poder remover el spyware. Ambos tienen versión en español y es necesario que la configures al momento de la instalación.
Obtén las últimas definiciones de virus.
Escanea la máquina.
Remueve todo el spyware que hayas encontrado.
Asegúrate que el antivirus de la máquina está actualizado y remueve todo lo que puedas encontrar.

11.- Cuando todo el escaneo esté completo ve a "C:\Archivos de programa" (en la computadora que está limpia) y copia la estructura completa de Spybot, de Ad-Aware y de tu antivirus a un nuevo directorio llamado "F:\Cleaners". También copia los instaladores de estos programas en esta misma carpeta.

12.- Ve a la opción de búsqueda y luego a opciones avanzadas. Verifica que buscarás en las carpetas de sistema y los archivos de sistema así como en los archivos ocultos.

13.- Busca los archivos solamente en el disco duro F: y usa lel texto “*.exe” para sólo buscar los ejecutables.

- Ejecuta la búsqueda y déjala terminar.
- Examina los archivos que encontraste. Es probable que reconozcas algunos archivos de la lista como ser tu antivirus o las aplicaciones de Office. Pon atención a archivos de menos de 100kb de tamaño y que se encuentren en la carpeta F:\Windows|System32 y que tengan nombres raros como “lsaloij.exe”
- Envía todos los archivos de procedencia dudosa a una carpeta especial llamada "F:\cuarentena" y colócalos en una subcarpeta. Ej; "F:\cuarentena\Windows\system32"
- Otros archivos raros también se pueden encontrar en F:\Windows\system32\drivers bajo nombres raros como “lsaloij.sys” Mueve también estos archivos a la cuarentena.
- Pon especial atención a los archivos que tienen nombres similares a programas que sí sirven como svchost, que es un programa importante. Otro programa llamado scvhost.exe ciertamente te causará problemas.
- Otra forma de identificar si un archivos es bueno viendo la sección de propiedades. Haz clic en propiedades y luego en versión. Allí verás que los archivos vienen firmados por el proveedor . "Microsoft Corporation", “Apple Computer Inc" o "Logitech", etc. Puede que estos archivos sean buenos, pero si no tienen ninguna firma, se convierten en sospechosos.
- Si no sabes qué hace un archivo dado, copia el nombre y luega usa google para encontrar sitios que describan al mismo. Existen muchos sitios en Internet que se especializan en explicar la función de los archivos.

14.- Repite los pasos de la búsqueda utilizando "*.dll" en vez de exe.

15.- Repite los pasos una vez más buscando archivos de tipo "*.sys".

16.- Este suele ser el último paso pero es un poco más difícil que los demás.

Ve a inicio y luego a ejecutar comando. Escribe regedit y luego presiona enter.
Ingresa al archivo de configuración de la computadora enferma y elimina cualquier entrada sospechosa del inicio del sistema.

Selecciona HKEY_LOCAL_MACHINE.
Ve al menú archivo y escoge "Load Hive".
Busca los registros "RunOnce" y "RunOnceEx". Revisa que no haya nada raro por ahí. Usa Google si no sabes qué hace un determinado archivo.
Carga el archivo por defecto "DEFAULT" y elimina las entradas de software raro que encuentres.

17.- Reinstala el disco duro y enciende la computadora.

Es posible que tu computadora se resista a encender. En este caso, no te quedará otra que reinstalarla por completo.

18.- Limpia tu máquina inmediatamente con los programas que llevaste a tu máquina.

19.- Sigue usando Windows de manera normal. Si te parece que aún estás infectado, siempre puedes instalar todo el sistema de cero nuevamente.
_________________________________________________________________________________

Gusano: es un malware que tiene la propiedad de duplicarse a sí mismo.
Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

Los gusanos actuales se propagan principalmente por correo electrónico con archivos anexados y disfrazados, con el objeto de engañar al usuario a que los ejecute y así empiece el proceso de infección y reproducción.

Métodos para eliminar un gusano:

1.- Instala, actualiza y ejecuta un antivirus gratuito

El primer paso será instalar, actualizar y ejecutar un antivirus gratuito, ya que si has sido infectado, es posible que no dispongas de ninguno.

Si por el contrario ya tenías antivirus pero has sido infectado igual, comprueba la fecha de actualizaciónel mismo y si todo parece estar correcto, prueba con alguna alternativa, quizás tu antivirus no sea capaz de detectar ese gusano en concreto.


2.- Ejecuta un antivirus desde el modo seguro

Quizás el problema no esté en el antivirus que estás utilizando, ya que es probable que sí lo esté detectando pero que no sea capaz de eliminarlo a través del arranque clásico de Windows, por lo que la mejor opción de todas es iniciar Windows en modo seguro y ejecutar el antivirus, de esta forma la opción de éxito es mucho mayor.

3.- Haz uso de un sistema operativo Linux para limpiar el equipo

Llegados a este punto, el gusano parece que está realmente oculto o está realmente protegido contra su eliminación y no hay forma de eliminarlo a través de Windows, por lo que tendremos que buscar una alternativa.

Esta alternativa pasa por ejecutar un Live CD con un sistema operativo en Linux y realizar un análisis exhaustivo del equipo, de esta forma estaremos iniciando un sistema operativo Linux desde el CD y dejamos el disco duro completamente disponible para su revisión.

La mejor opción para realizar este paso es hacer uso de Kaspersky Rescue Disk 10, del cual ya hemos hablado en Rootear, por lo que te recomendamos visitar ese artículo y así conocer más de cerca esta herramienta gratuita.

No hay comentarios:

Publicar un comentario