2011- 2012...eliminar el “browser hijacker ... desde el cd. a continuación vemos el aspecto del...

2011-2012

José Jiménez Arias

IES Gregorio Prieto

2011-2012

UD2: Documentación 1 Herramientas Paliativas


Alumno: José Jiménez Arias

Módulo: Seguridad y Alta disponibilidad

2011-2012

2

ÍNDICE a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD que se puede iniciar desde un CD o flash USB. Documenta dicho proceso.

c) En tu ordenador, realiza un análisis antimalware a fondo.

Msconfig.

Software de Microsoft : Suite Sysinternals:Autoruns y Process Explorer

d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las herramientas gratuitas de Trend Micro USA:

HouseCall.

Browser Guard 2011.

HiJackThis.

RUBotted. e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Piensa como prevenir este software e informa en un documento. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?. f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el sistema?.

g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo.




2011-2012

3

a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk.

1. Instalamos ClamAV.

Instalamos el software con la sentencia apt-get install clamav

Escaneamos con la sentencia: clamav –r –i /etc Inmediatamente después podemos observar el resultado de este.




2011-2012

4

2. Instalamos Clamtk Instalamos el programa con la sentencia apt-get install clamtk.

Con el comando: clamtk iniciamos el programa. Ejecutamos el programa, realizamos un análisis, y el resultado del scaner es el siguiente.




2011-2012

5

b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD.

Vamos a la página oficial y descargamos.

Seleccionamos el tipo de descarga que necesitamos.

Nos dirigimos a la BIOS y en esta cambiamos la secuencia de arranque para que inicie desde el cd. A continuación vemos el aspecto del programa: Seleccionamos la opción scan para realizar un análisis:




2011-2012

6

En la siguiente pantalla nos permite elegir el tipo de análisis, en nuestro caso seleccionamos la primera opción del menú “Scan inside archives”.

Comienza el análisis:

Por último podemos observar el resultado del análisis: 2 Infecciones y 1warning.




2011-2012

7

c) En tu ordenador, realiza un análisis antimalware a fondo.

Vamos a Inicio ejecutar y escribimos msconfig:

Software de Microsoft: Suite Sysinternals. Utiliza entre otros: Autoruns y Process Explorer Vamos a la página oficial de sysinternals.




2011-2012

8

Process explorer.

Descargamos e instalamos Process explorer.

El resultado es el siguiente:




2011-2012

9

Autoruns

Descargamos e instalamos Autoruns.

El resultado es el siguiente:




2011-2012

10

d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando herramientas gratuitas.

Utiliza las herramientas:

HouseCall

HouseCall es una herramienta gratuita basada en la Web que está diseñada para detectar en el PC una amplia gama de amenazas en seguridad de Internet, como virus, gusanos, troyanos y spyware. También detecta las vulnerabilidades del sistema y proporciona un enlace que le permite descargar fácilmente los parches de seguridad que faltan. Después de cada exploración, HouseCall entrega un informe detallado que identifica las amenazas de seguridad detectadas en el equipo. Descargamos e instalamos el software.

Analizamos el equipo y observamos el resultado: Podemos ver como se realiza el análisis, al final de este no detecto ningún malware.




2011-2012

11

Browser Guard 2011

Trend Micro Browser Guard es una herramienta fácil de usar plug-in, lo que evita las

amenazas conocidas y desconocidas de Internet. Ataques de día cero, como Aurora y

Hydraq puede ser proactiva bloqueado por Browser Guard, que detecta y previene el

comportamiento asociado con este tipo de amenazas.

Los cibercriminales utilizan a menudo JavaScript malicioso insertado en páginas web,

donde los ataques pueden tener lugar en silencio, sin ningún efecto visible. Browser

Guard también lo protege de este tipo de ataques mediante el análisis y el bloqueo

posteriormente JavaScript malicioso. Para la detección más avanzada y eficiente,

Browser Guard se comunica con la red de Trend Micro Smart Protection Network, que

trae las últimas protecciones cuando usted navega por la web.

Ventajas clave

Protege contra ataques de día cero Detecta buffer-overflow y ataques spray heap Protege contra la ejecución de código shell Analiza y protege contra software malicioso JavaScript Se conecta con Trend Micro Smart Protection Network para maximizar las detecciones

Descargamos e instalamos el programa.




2011-2012

12

HiJackThis

Es una utilidad gratuita que genera un informe detallado de la configuración de archivos y del Registro del equipo. HijackThis no establece ninguna separación entre la configuración segura y no segura en los resultados de su exploración, lo que permite eliminar del equipo los elementos deseados. Además de esta capacidad de exploración y eliminación, HijackThis incluye varias herramientas útiles para eliminar manualmente el malware de un equipo.

Descargamos e instalamos el software HiJackThis. Pulsamos en la ventana seleccionada para realizar un análisis y tras este se guarde el resultado en un fichero. O en la pestaña “Do a system scan only” simplemete para realizar un análisis.

Pulsamos en scan:




2011-2012

13

Tras el análisis podemos observar el resultado de este y los hijackthis detectados:




2011-2012

14

RUBotted. RuBotted monitoriza su equipo en busca de infecciones potenciales y actividades sospechosas asociadas con redes zombi. Redes zombi son archivos malintencionados que habilitan a los delincuentes cibernéticos controlar en secreto su equipo. Al descubrir una infección potencial, RUBotted los identificará y limpiará con HouseCall. Descargamos e instalamos el software.

Realizamos un análisis y el resultado lo podemos observar en la siguiente pantalla: No hay botnet en nuestro equipo.




2011-2012

15

e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Revealer no está disponible para sistema operativo Windows 7, realizaremos la práctica sobre el sistema operativo Windows Xp SP3.

Descargamos e instalamos el software.

Observamos el aspecto de la aplicación y sus diversas pestañas.

Tecleamos para ver que el software funciona.

A continuación maximizamos la pantalla y podemos observar lo que el usuario josejimenez, el miércoles, 23 de noviembre de 2011.




2011-2012

16

Para seleccionar los registros escritos en un determinado día tenemos un calendario.

También nos permitir ver los resgistros de determinados usuarios.




2011-2012

17

Piensa como prevenir este software e informa en un documento. A continuación instalamos un antimalware y observamos el resultado. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?

Nada mas descargar el instalador, el sistema operativo mostró este mensaje:

En primer lugar descargamos e instalamos el software malwarebytes.

A continuación realizamos un análisis completo.




2011-2012

18

Ahora seleccionamos las unidades que queremos analizar:

Seleccionamos C y D puesto que no tenemos unidad a en nuestro equipo.

Resultado del análisis:

El keylogger es detectado.




2011-2012

19

f) Investiga en Internet el término: Hijacker.

Técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere.

¿Qué efectos tiene sobre el sistema? Secuestrador del navegador (browser hijacker): Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra de su elección, también pueden añadir barras de herramientas en el navegador o incluir enlaces en la carpeta de “Favoritos”. Todas estas acciones las realiza generalmente para aumentar las visitas de la página de destino. ¿Cómo puedes eliminar el “Browser hijacker”? Se recomienda iniciar en modo a prueba de fallos, o desde una live cd y realizar un análisis con algunas de las siguientes herramientas. http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/?idLabel=2230278&idUser=&idPlatform=

http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/?idLabel=2230278&idUser=&idPlatform





2011-2012

20

g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. Es un archivo de texto que indica una función a seguir, sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash. ¿Cómo se propaga?

Se lo activa al clikear sobre el icono del medio de almacenamiento, o la ventana que presenta el sistema operativo, cualquier medio de almacenamiento es contaminado al conectar.

¿Qué efecto tiene?

Errores en visualización o búsqueda con el Explorer. Así pues, cuando se intenta abrir una carpeta, el sistema operativo nos puede dar los siguientes mensajes y los siguientes problemas:

"Elija el programa que desea usar para abrir el siguiente archivo"

"No es posible hallar el archivo solicitado"

"Explorer.exe no responde"

"El computador presenta resultados de forma lenta"

"Según el tipo de virus, algunos ocupan toda la memoria RAM y empiezan a escribir en memoria Caché"

"En otros casos hace que los accesos directos, no ejecuten el programa elegido"

"En casos muy severos, evita que el sistema operativo logre iniciar, pues el mismo no encuentra sus archivos para inicio"

"Cualquier medio de almacenamiento es contaminado al conectar"

¿A qué tipo de sistemas operativos afecta? Windows 32-bit




2011-2012

21

¿Qué medidas de seguridad puede tomar?

Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección, con el fin de eliminarlo

Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo utiliza

Desactivación de la Auto ejecución del sistema operativo.

¿Qué es la desactivación de la ejecución automática? Es el deshabilitamiento de una funcionalidad del sistema que es la de arrancar de manera automática programas de instalación de aplicaciones contenidas en CD-ROM, memorias USB y otros dispositivos extraíbles. ¿Cómo se puede realizar? La primera es: abrir "Mi PC", hacer click derecho en el icono de la unidad de CD y elegir "Propiedades" en el menú. Seleccionar la solapa "Reproducción automática" y marque "Seleccionar la acción que desea ejecutar" en el recuadro Acciones. Allí elegir la opción preferida. La opción más simple es ir a "Inicio" > "Ejecutar", escribir "gpedit.msc" y en la ventana abierta abrir la carpeta "Plantillas administrativas" del subtítulo "Configuración del equipo". Luego, elija "Sistema" y haga un doble clic en "Desactivar reproducción automática". Cerrar la ventana y listo.




2011-2012

22

¿Para qué sirve USB Vaccine?

Es una herramienta que Panda pone a disposición de los usuarios para evitar la forma de infección más común en los dispositivos extraíbles como discos duros, pendrives, mp3... Su forma de trabajar es bastante sencilla y efectiva crea un fichero autorun.inf en el dispositivo y lo protege para que no se pueda modificar ni eliminar, de esa forma, aunque se copie un virus en este dispositivo, no se ejecutará de forma automática al conectar el dispositivo a un ordenador.

También permite vacunar el ordenador para desactivar la ejecución automática tanto en dispositivos USB como CD/DVD, lo que ayuda a frenar la difusión de estos virus que la utilizan.

Esta herramienta no suple a un antivirus que provea de protección permanente a nuestro sistema.

Podemos obtenerlo desde:

http://gratis.pandasecurity.com/

¿Qué programa podemos utilizar para realizar la desinfección?

Adware

Avast

Avg

http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/?id

Label=2230188&idUser=&idPlatform

http://gratis.pandasecurity.com/



2011- 2012...eliminar el “browser hijacker ... desde el cd. a continuación vemos el aspecto del...

Documents