1-instala en gnu/linux el antivirus clamav, y su versión ... · los creadores de adware lo que...
TRANSCRIPT
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 1
Herramientas paliativas. Antimalware
1-Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica
Clamtk
Clamav Instalamos con “sudo aptitude install clamav”.
Ya lo tengo instalado, ahora voy a abrirlo y a escanear:
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 2
Clamtk Instalamos el programa “sudo aptitude install clamtk”
Le damos a analizar carpeta y seleccionamos el directorio “Descargas”
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 3
No se han encontrado amenazas.
2-Spyware En el mundo de la informática el software espía (spyware) se instala en nuestro sistema con la
finalidad de robar nuestros datos y espiar nuestros movimientos por la red. Luego envían esa
información a empresas de publicidad de internet para comercializar con nuestros datos.
Trabajan en modo ‘background’ (segundo plano) para que no nos percatemos de que están
hasta que empiecen a aparecer los primeros síntomas.
Un spyware típico se auto instala en el sistema afectado de forma que se ejecuta cada vez que
se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del
ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y
mostrando anuncios relacionados.
Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que
funciona como un parásito.
Las consecuencias de una infección de spyware moderada o severa (aparte de las cuestiones
de privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema
(hasta un 50 % en casos extremos), y problemas de estabilidad graves (el ordenador se queda
"colgado"). También causan dificultad a la hora de conectar a Internet. Algunos ejemplos de
programas espía conocidos son Gator o Bonzi Buddy.
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 4
Determinar si el ordenador realmente está infectado por spyware: Para determinar si el
ordenador está infectado o no, necesitamos un software especializado en detectar e
identificar virus. Antispyware software es un software especializado en detectar spyware.
Para detectar y eliminar spyware en Windows podemos usar software Spyhunter:
- Su uso es muy fácil, detecta el spyware de forma correcta y rápida.
- Es muy eficaz, detecta y elimina de manera segura.
- En caso que haya problemas, crean una solución adaptada a tus necesidades.
Para detectar y eliminar malware en Mac recomiendo el software Mackeeper:
- Su uso es fácil y sencillo, busca y encuentra el spyware con seguridad.
- Es muy eficaz, lo hace de forma rápida.
- Es mucho más que un antivirus, MacKeeper es capaz de limpiar, reparar e acelerar el
Mac.
3-Adware Adware viene de la palabra “ad” que en inglés se utiliza para decir publicidad. Y ese es
justamente el objetivo de este malware, mostrar anuncios. Adware a veces puede ser fácil o
difícil de detectar e eliminar.
Para explicar qué es un adware es importante saber cuál es su objetivo.
Los creadores de adware lo que quieren es ganar dinero, por lo tanto, el dinero es su objetivo
principal. Ese dinero lo ganan mostrando anuncios de muchas formas, las más conocidas son:
- Pop-up mensajes con anuncios cuando navegas en internet.
- Office ads: Cuando en un documento escribes una palabra el malware la puede utilizar
para mostrar un anuncio y te marca la palabra en un formato diferente. Cada vez que
pases el ratón por encima de la palabra, te saldrá el anuncio.
- Redirecciones a páginas webs que el usuario no quiere, por ejemplo: el usuario quiere ir
a la página web de google, pero el navegador en vez de ir a google, carga una página
web a la cual quiere ir el adware.
¿Cómo puedes saber que tu sistema está contagiado?
- Sistema funciona más lento de lo normal
- Internet va lento
- Anuncios no deseados
Si tu sistema tiene uno de estos síntomas, es recomendable que verifiques si hay un malware
presente. Para determinar la presencia de malware, necesitas un programa especial.
Antismalware es un software especializado en detectar y eliminar spyware, adware y otros
tipos de malignos software. El uso de antimalware es muy fácil, es solo cuestión de descargarlo
e instalarlo. Una vez instalado, tienes la opción de que el programa te ha un escaneo del
sistema. El software antispyware analiza el sistema buscando procesos o actividades
sospechosos.
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 5
4-Hijacking El hijacking (traducido como "secuestro"), en el ámbito informático hace referencia a toda
técnica ilegal que lleve consigo el adueñarse o robar algo por parte de un atacante. Es un
concepto muy abierto, que se puede aplicar a varios ámbitos; así se encuentra el robo de
información, el secuestro de una conexión de red, de sesiones de terminal, servicios, módems,
etcétera.
Browser hijacking: ("Secuestro del navegador"). Se llama así a la apropiación que realizan
algunos spyware sobre el buscador, lanzando popups, modificando la página de inicio o de
búsqueda predeterminada, etcétera. El término "secuestro" hace referencia a que estas
modificaciones se hacen sin el permiso ni el conocimiento del usuario. Algunos de estos
spyware son fáciles de borrar del sistema operativo, mientras que otros son extremadamente
complicados de eliminar y revertir sus cambios.
Dependiendo del navegador que usemos y esté infectado podremos eliminarlo:
Internet Explorer
- Si utiliza Windows 7 o Windows Vista, clic en Inicio. Escriba lo siguiente: "inetcpl.cpl"
- Haga clic en el Opciones avanzadas
- Restablecer configuración de Internet Explorer, clic en Restablecer en la ventana abierta.
- Seleccionar la casilla “Eliminar configuración personal para eliminar el historial de
navegación, los proveedores de búsquedas y página principal”
Mozilla Firefox
- Abra Firefox
- Ir a Ayuda > Información para solucionar problemas en menú.
- Clic en Restablecer Firefox.
- Una vez que finalice Firefox, se mostrara una ventana para crear una carpeta en el
escritorio. Clic Terminar.
Google Chrome
- Vaya a la carpeta de instalación de Google Chrome: C:\Users\"su nombre de
usuario"\AppData\Local\Google\Chrome\Application\User Data.
- En la carpeta de User Data, buscar un archivador llamado Default y cambie su nombre
por DefaultBackup.
- Se creara un nuevo archivador Default.
5-Keyloggers y Stealers Como su nombre lo indica un Keylogger es un programa que registra y graba la pulsación de
teclas (y algunos también clics del mouse). La información recolectada será utilizada luego por
la persona que lo haya instalado. Actualmente existen dispositivos de hardware o bien
aplicaciones (software) que realizan estas tareas.
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 6
Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra computadora y
el teclado. Son difíciles de identificar para un usuario inexperto pero si se presta atención es
posible reconocerlos a simple vista.
Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que
registrar a un usuario mediante este accionar puede interpretarse como una violación a su
privacidad. Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y
firmada por el usuario.
Para eliminar por completo Keyloggers se deberá hacer usando un programa anti-spyware de
confianza. Con el fin de evitar la pérdida de programas legítimos que son importantes para la
funcionalidad y estabilidad del PC. Se recomienda usar estos programas: Reimage,
Malwarebytes Anti Malware.
6-Botnets, Rogue, y Criptovirus Botnets
Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados
por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crean un
botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son
parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para
crear un botnet. Los botnets pequeños pueden incluir cientos de PCs infectados, mientras que
los mayores utilizan millones de equipos.
El uso más común de los botnets son lo ataques DDoS. Estos ataques utilizan la potencia del
ordenador y el ancho de banda de cientos o miles de equipos para enviar gran cantidad de
tráfico a una página web específica y sobrecargar dicho site. Existen diferentes tipos de
ataques DDoS, pero el objetivo siempre es el mismo: colapsar una web. Los atacantes usaban
esta táctica para derribar las páginas de sus enemigos.
- Defensa:
Existen diferentes formas de defensa frente a los ataques DDoS, pero casi todas ellas operan a
nivel de servidor o ISP. Para los usuarios, la defensa frente a un botnet empieza actualizando
todo el software de su equipo y evitando pinchar en enlaces sospechosos. Los hackers se
aprovechan de la ingenuidad de los usuarios a la hora de abrir archivos maliciosos o hacer click
en enlaces que esconden un malware. Si eliminamos esa parte de la ecuación, les será más
difícil a los cibercriminales infectar nuestro equipo y construir un botnet.
Rogue
Rogue software (en español conocido como software bandido o también falso antivirus) es un
tipo de programa informático malicioso cuya principal finalidad es la de hacer creer que una
computadora está infectada por algún tipo de virus, induciendo a pagar una determinada
suma de dinero para eliminarlo.
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 7
Este tipo de software suele descargarse e instalarse de forma oculta y en contra de la voluntad
del usuario directamente desde Internet. Sin embargo, en ocasiones se presenta bajo la forma
de la versión de prueba de un producto antimalware que el usuario descarga de buena fe.
En el caso de aquellos que se manifiestan bajo la forma de una versión de prueba, actúan
generando falsos positivos a propósito detectando malware inexistente. Al ser una versión de
prueba, informa al usuario que para eliminarlos requerirá comprar la versión completa de la
aplicación.
A menos que el rogue software sea demasiado nuevo, los antivirus y antispyware de mayor
renombre actualizados pueden evitar la instalación y la activación de los mismos.
En caso de que aún no haya sido detectado por ninguna empresa fabricante de productos
antimalware, será necesario hallar los archivos infectados y desinfectarlos de forma manual, lo
que posee una complejidad extrema. Malwarebytes Anti Malware es un ejemplo.
Criptovirus
Los virus de tipo “Crypto” son secuestradores (ransomware) que bloquean archivos valiosos
para chantajear al usuario. A diferencia del virus de la policía, que amenaza con denunciar las
autoridades, los criptovirus no se hacen pasar por nadie, sino que toman documentos del disco
duro, los bloquean y piden un rescate cuantioso.
Cómo actuar en caso de infección
Lo primero que hay que hacer nada más ver el aviso de CryptoWall o CryptoLocker es apagar el
ordenador lo antes posible. Cuanto más tiempo dejes que el virus actúe, más archivos podrá
bloquear. Es por ello que, idealmente, solo debes actuar desde el Modo a prueba de errores o
bien usando un CD/DVD de arranque con antivirus incorporado.
Si optas por reiniciar en Modo a prueba de fallos, puedes usar un antivirus portátil, como
Norton Power Eraser o Avira PC Cleaner, que encontrarán el virus y lo borrarán por completo.
7-AUTORUN.INF Autorun.INF es un gusano que se reproduce creando copias de sí mismo, sin infectar otros
archivos.
Autorun.INF utiliza los siguientes métodos de propagación o distribución:
- Explotación de vulnerabilidades con intervención del usuario: aprovecha
vulnerabilidades en formatos de archivo o aplicaciones. Para explotarlas con éxito,
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 8
necesita de la intervención del usuario: apertura de archivos, visita a páginas web
maliciosas, lectura de mensajes de correo, etc.
- Redes de ordenadores (unidades mapeadas): crea copias de sí mismo en las unidades de
red mapeadas.
- Redes de ordenadores (recursos compartidos): crea copias de sí mismo en los recursos
compartidos de red a los que consigue acceder.
- Infección de archivos: infecta archivos de distintos tipos, que posteriormente son
distribuidos a través de cualquiera de las vías habituales: disquetes, mensajes de correo
electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a
través de FTP, canales de IRC y redes de intercambio de archivos entre pares (P2P), etc.
Método de Propagación
Propagación a través de unidades mapeadas:
Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.
Propagación a través de recursos compartidos de red:
Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas. Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Distribución de archivos infectados:
Autorun.INF no se propaga automáticamente por sus propios medios, sino que infecta archivos del siguiente tipo:
Llega a otros ordenadores cuando se distribuyen los archivos previamente infectados, que pueden entrar al ordenador a través de cualquiera de las vías habituales: disquetes, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales de IRC y redes de intercambio de archivos entre pares (P2P), etc.
¿Qué medidas de seguridad puede tomar?
- Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección,
con el fin de eliminarlo
- Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo
utiliza
- Desactivación de la Auto ejecución del sistema operativo.
USB Doctor es una utilidad desarrollada en base al estudio del malware que aprovecha los
dispositivos de almacenamiento extraíble para propagarse. La tarea de USB Doctor es proteger
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 9
a los dispositivos con infecciones de malware que se ejecutan al conectar el dispositivo a
cualquier PC, impidiendo así su ejecución.
USB Doctor vacuna su dispositivo contra los virus que se alojan en el autorun.inf y también
contra variantes como la carpeta recycled o recycler, además USB Doctor tiene protección
contra las nuevas variantes de propagación. Es importante señalar que USB Doctor no es un
ANTIVIRUS, es decir ningún programa de este tipo lo es, su función principal es proteger contra
infecciones automáticas evitando la propagación del virus a su dispositivo y la auto ejecución
de estos.
8-Instalación de dos herramientas antimalware Para esta práctica voy a usar el programa “Malwarebytes” que es software que elimina
malware, spyware y adware.
Para el uso adecuado del este programa instalaré antes un Keylogger y me registraré en la
página “filmaffinity.com” para ver si me detecta la contraseña:
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 10
Me he registrado en la página después de dar clic en “Iniciar”. Cuando he finalizado de
inscribirme le doy clic a detener. Puedo ver que se ha generado un fichero nuevo:
Vemos que el Keylogger me ha cogido la contraseña del sitio:
Ahora vamos a usar Malwarebytes para ver si detecta el Keylogger:
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 11
Podemos ver que detecta el Keylogger:
Ahora voy a utilizar el software “SpyShelter” que también trata de detectar malware:
Seguridad y Alta Disponibilidad
Ernesto Martín Pintado SAD Página 12
Al intentar actualizar el Keylogger, en seguida nos salta un aviso de certificado comprometido