2011- 2012 UD2: Documentación 1 Herramientas Paliativas
José Jiménez Arias IES Gregorio Prieto 2011-2012 UD2: Documentación 1 Herramientas Paliativas 2011-2012 ÍNDICE a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD que se puede iniciar desde un CD o flash USB. Documenta dicho proceso. c) En tu ordenador, realiza un análisis antimalware a fondo. Msconfig. Software de Microsoft : Suite Sysinternals:Autoruns y Process Explorer d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las herramientas gratuitas de Trend Micro USA: HouseCall. Browser Guard 2011. HiJackThis. RUBotted. e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Piensa como prevenir este software e informa en un documento. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?. f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el sistema?. g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo.
Alumno: José Jiménez Arias 2 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk.
1. Instalamos ClamAV.
Instalamos el software con la sentencia apt-get install clamav
Escaneamos con la sentencia: clamav –r –i /etc Inmediatamente después podemos observar el resultado de este.
Alumno: José Jiménez Arias 3 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012
2. Instalamos Clamtk Instalamos el programa con la sentencia apt-get install clamtk.
Con el comando: clamtk iniciamos el programa. Ejecutamos el programa, realizamos un análisis, y el resultado del scaner es el siguiente.
Alumno: José Jiménez Arias 4 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD.
Vamos a la página oficial y descargamos.
Seleccionamos el tipo de descarga que necesitamos.
Nos dirigimos a la BIOS y en esta cambiamos la secuencia de arranque para que inicie desde el cd.
A continuación vemos el aspecto del programa: Seleccionamos la opción scan para realizar un análisis:
Alumno: José Jiménez Arias 5 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 En la siguiente pantalla nos permite elegir el tipo de análisis, en nuestro caso seleccionamos la primera opción del menú “Scan inside archives”.
Comienza el análisis:
Por último podemos observar el resultado del análisis: 2 Infecciones y 1warning.
Alumno: José Jiménez Arias 6 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 c) En tu ordenador, realiza un análisis antimalware a fondo.
Vamos a Inicio ejecutar y escribimos msconfig:
Software de Microsoft: Suite Sysinternals. Utiliza entre otros: Autoruns y Process Explorer
Vamos a la página oficial de sysinternals.
Alumno: José Jiménez Arias 7 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Process explorer.
Descargamos e instalamos Process explorer.
El resultado es el siguiente:
Alumno: José Jiménez Arias 8 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Autoruns
Descargamos e instalamos Autoruns.
El resultado es el siguiente:
Alumno: José Jiménez Arias 9 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando herramientas gratuitas.
Utiliza las herramientas:
HouseCall
HouseCall es una herramienta gratuita basada en la Web que está diseñada para detectar en el PC una amplia gama de amenazas en seguridad de Internet, como virus, gusanos, troyanos y spyware. También detecta las vulnerabilidades del sistema y proporciona un enlace que le permite descargar fácilmente los parches de seguridad que faltan. Después de cada exploración, HouseCall entrega un informe detallado que identifica las amenazas de seguridad detectadas en el equipo.
Descargamos e instalamos el software.
Analizamos el equipo y observamos el resultado: Podemos ver como se realiza el análisis, al final de este no detecto ningún malware.
Alumno: José Jiménez Arias 10 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012
Browser Guard 2011
Trend Micro Browser Guard es una herramienta fácil de usar plug-in, lo que evita las amenazas conocidas y desconocidas de Internet. Ataques de día cero, como Aurora y Hydraq puede ser proactiva bloqueado por Browser Guard, que detecta y previene el comportamiento asociado con este tipo de amenazas.
Los cibercriminales utilizan a menudo JavaScript malicioso insertado en páginas web, donde los ataques pueden tener lugar en silencio, sin ningún efecto visible. Browser Guard también lo protege de este tipo de ataques mediante el análisis y el bloqueo posteriormente JavaScript malicioso. Para la detección más avanzada y eficiente, Browser Guard se comunica con la red de Trend Micro Smart Protection Network, que trae las últimas protecciones cuando usted navega por la web.
Ventajas clave
Protege contra ataques de día cero Detecta buffer-overflow y ataques spray heap Protege contra la ejecución de código shell Analiza y protege contra software malicioso JavaScript Se conecta con Trend Micro Smart Protection Network para maximizar las detecciones
Descargamos e instalamos el programa.
Alumno: José Jiménez Arias 11 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 HiJackThis
Es una utilidad gratuita que genera un informe detallado de la configuración de archivos y del Registro del equipo. HijackThis no establece ninguna separación entre la configuración segura y no segura en los resultados de su exploración, lo que permite eliminar del equipo los elementos deseados. Además de esta capacidad de exploración y eliminación, HijackThis incluye varias herramientas útiles para eliminar manualmente el malware de un equipo.
Descargamos e instalamos el software HiJackThis. Pulsamos en la ventana seleccionada para realizar un análisis y tras este se guarde el resultado en un fichero.
O en la pestaña “Do a system scan only” simplemete para realizar un análisis.
Pulsamos en scan:
Alumno: José Jiménez Arias 12 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012
Tras el análisis podemos observar el resultado de este y los hijackthis detectados:
Alumno: José Jiménez Arias 13 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 RUBotted. RuBotted monitoriza su equipo en busca de infecciones potenciales y actividades sospechosas asociadas con redes zombi. Redes zombi son archivos malintencionados que habilitan a los delincuentes cibernéticos controlar en secreto su equipo. Al descubrir una infección potencial, RUBotted los identificará y limpiará con HouseCall.
Descargamos e instalamos el software.
Realizamos un análisis y el resultado lo podemos observar en la siguiente pantalla: No hay botnet en nuestro equipo.
Alumno: José Jiménez Arias 14 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger.
Revealer no está disponible para sistema operativo Windows 7, realizaremos la práctica sobre el sistema operativo Windows Xp SP3.
Descargamos e instalamos el software.
Observamos el aspecto de la aplicación y sus diversas pestañas.
Tecleamos para ver que el software funciona.
A continuación maximizamos la pantalla y podemos observar lo que el usuario josejimenez, el miércoles, 23 de noviembre de 2011.
Alumno: José Jiménez Arias 15 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Para seleccionar los registros escritos en un determinado día tenemos un calendario.
También nos permitir ver los resgistros de determinados usuarios.
Alumno: José Jiménez Arias 16 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Piensa como prevenir este software e informa en un documento. A continuación instalamos un antimalware y observamos el resultado.
Utiliza el software Malwarebytes para Windows. ¿Lo detecta?
Nada mas descargar el instalador, el sistema operativo mostró este mensaje:
En primer lugar descargamos e instalamos el software malwarebytes.
A continuación realizamos un análisis completo.
Alumno: José Jiménez Arias 17 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012
Ahora seleccionamos las unidades que queremos analizar:
Seleccionamos C y D puesto que no tenemos unidad a en nuestro equipo.
Resultado del análisis:
El keylogger es detectado.
Alumno: José Jiménez Arias 18 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 f) Investiga en Internet el término: Hijacker.
Técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere.
¿Qué efectos tiene sobre el sistema?
Secuestrador del navegador (browser hijacker): Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra de su elección, también pueden añadir barras de herramientas en el navegador o incluir enlaces en la carpeta de “Favoritos”. Todas estas acciones las realiza generalmente para aumentar las visitas de la página de destino.
¿Cómo puedes eliminar el “Browser hijacker”?
Se recomienda iniciar en modo a prueba de fallos, o desde una live cd y realizar un análisis con algunas de las siguientes herramientas. http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/?id Label=2230278&idUser=&idPlatform=
Alumno: José Jiménez Arias 19 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo.
Es un archivo de texto que indica una función a seguir, sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash.
¿Cómo se propaga?
Se lo activa al clikear sobre el icono del medio de almacenamiento, o la ventana que presenta el sistema operativo, cualquier medio de almacenamiento es contaminado al conectar.
¿Qué efecto tiene?
Errores en visualización o búsqueda con el Explorer. Así pues, cuando se intenta abrir una carpeta, el sistema operativo nos puede dar los siguientes mensajes y los siguientes problemas:
"Elija el programa que desea usar para abrir el siguiente archivo" "No es posible hallar el archivo solicitado" "Explorer.exe no responde" "El computador presenta resultados de forma lenta" "Según el tipo de virus, algunos ocupan toda la memoria RAM y empiezan a escribir en memoria Caché" "En otros casos hace que los accesos directos, no ejecuten el programa elegido" "En casos muy severos, evita que el sistema operativo logre iniciar, pues el mismo no encuentra sus archivos para inicio" "Cualquier medio de almacenamiento es contaminado al conectar"
¿A qué tipo de sistemas operativos afecta?
Windows 32-bit
Alumno: José Jiménez Arias 20 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012
¿Qué medidas de seguridad puede tomar?
Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección, con el fin de eliminarlo Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo utiliza Desactivación de la Auto ejecución del sistema operativo.
¿Qué es la desactivación de la ejecución automática?
Es el deshabilitamiento de una funcionalidad del sistema que es la de arrancar de manera automática programas de instalación de aplicaciones contenidas en CD-ROM, memorias USB y otros dispositivos extraíbles.
¿Cómo se puede realizar?
La primera es: abrir "Mi PC", hacer click derecho en el icono de la unidad de CD y elegir "Propiedades" en el menú. Seleccionar la solapa "Reproducción automática" y marque "Seleccionar la acción que desea ejecutar" en el recuadro Acciones. Allí elegir la opción preferida.
La opción más simple es ir a "Inicio" > "Ejecutar", escribir "gpedit.msc" y en la ventana abierta abrir la carpeta "Plantillas administrativas" del subtítulo "Configuración del equipo". Luego, elija "Sistema" y haga un doble clic en "Desactivar reproducción automática". Cerrar la ventana y listo.
Alumno: José Jiménez Arias 21 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012
¿Para qué sirve USB Vaccine?
Es una herramienta que Panda pone a disposición de los usuarios para evitar la forma de infección más común en los dispositivos extraíbles como discos duros, pendrives, mp3... Su forma de trabajar es bastante sencilla y efectiva crea un fichero autorun.inf en el dispositivo y lo protege para que no se pueda modificar ni eliminar, de esa forma, aunque se copie un virus en este dispositivo, no se ejecutará de forma automática al conectar el dispositivo a un ordenador.
También permite vacunar el ordenador para desactivar la ejecución automática tanto en dispositivos USB como CD/DVD, lo que ayuda a frenar la difusión de estos virus que la utilizan.
Esta herramienta no suple a un antivirus que provea de protección permanente a nuestro sistema.
Podemos obtenerlo desde: http://gratis.pandasecurity.com/
¿Qué programa podemos utilizar para realizar la desinfección?
http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/?id Label=2230188&idUser=&idPlatform
Alumno: José Jiménez Arias 22 Módulo: Seguridad y Alta disponibilidad