Seguridad y Alta Disponibilidad
Herramientas paliativas. Antimalware
1-Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk
Clamav Instalamos con “sudo aptitude install clamav”.
Ya lo tengo instalado, ahora voy a abrirlo y a escanear:
Ernesto Martín Pintado SAD Página 1
Seguridad y Alta Disponibilidad
Clamtk Instalamos el programa “sudo aptitude install clamtk”
Le damos a analizar carpeta y seleccionamos el directorio “Descargas”
Ernesto Martín Pintado SAD Página 2
Seguridad y Alta Disponibilidad
No se han encontrado amenazas.
2-Spyware En el mundo de la informática el software espía (spyware) se instala en nuestro sistema con la finalidad de robar nuestros datos y espiar nuestros movimientos por la red. Luego envían esa información a empresas de publicidad de internet para comercializar con nuestros datos. Trabajan en modo ‘background’ (segundo plano) para que no nos percatemos de que están hasta que empiecen a aparecer los primeros síntomas.
Un spyware típico se auto instala en el sistema afectado de forma que se ejecuta cada vez que se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando anuncios relacionados.
Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parásito.
Las consecuencias de una infección de spyware moderada o severa (aparte de las cuestiones de privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema (hasta un 50 % en casos extremos), y problemas de estabilidad graves (el ordenador se queda "colgado"). También causan dificultad a la hora de conectar a Internet. Algunos ejemplos de programas espía conocidos son Gator o Bonzi Buddy.
Ernesto Martín Pintado SAD Página 3
Seguridad y Alta Disponibilidad
Determinar si el ordenador realmente está infectado por spyware: Para determinar si el ordenador está infectado o no, necesitamos un software especializado en detectar e identificar virus. Antispyware software es un software especializado en detectar spyware.
Para detectar y eliminar spyware en Windows podemos usar software Spyhunter:
- Su uso es muy fácil, detecta el spyware de forma correcta y rápida. - Es muy eficaz, detecta y elimina de manera segura. - En caso que haya problemas, crean una solución adaptada a tus necesidades.
Para detectar y eliminar malware en Mac recomiendo el software Mackeeper:
- Su uso es fácil y sencillo, busca y encuentra el spyware con seguridad. - Es muy eficaz, lo hace de forma rápida. - Es mucho más que un antivirus, MacKeeper es capaz de limpiar, reparar e acelerar el Mac.
3-Adware Adware viene de la palabra “ad” que en inglés se utiliza para decir publicidad. Y ese es justamente el objetivo de este malware, mostrar anuncios. Adware a veces puede ser fácil o difícil de detectar e eliminar.
Para explicar qué es un adware es importante saber cuál es su objetivo.
Los creadores de adware lo que quieren es ganar dinero, por lo tanto, el dinero es su objetivo principal. Ese dinero lo ganan mostrando anuncios de muchas formas, las más conocidas son:
- Pop-up mensajes con anuncios cuando navegas en internet. - Office ads: Cuando en un documento escribes una palabra el malware la puede utilizar para mostrar un anuncio y te marca la palabra en un formato diferente. Cada vez que pases el ratón por encima de la palabra, te saldrá el anuncio. - Redirecciones a páginas webs que el usuario no quiere, por ejemplo: el usuario quiere ir a la página web de google, pero el navegador en vez de ir a google, carga una página web a la cual quiere ir el adware.
¿Cómo puedes saber que tu sistema está contagiado?
- Sistema funciona más lento de lo normal - Internet va lento - Anuncios no deseados
Si tu sistema tiene uno de estos síntomas, es recomendable que verifiques si hay un malware presente. Para determinar la presencia de malware, necesitas un programa especial. Antismalware es un software especializado en detectar y eliminar spyware, adware y otros tipos de malignos software. El uso de antimalware es muy fácil, es solo cuestión de descargarlo e instalarlo. Una vez instalado, tienes la opción de que el programa te ha un escaneo del sistema. El software antispyware analiza el sistema buscando procesos o actividades sospechosos.
Ernesto Martín Pintado SAD Página 4
Seguridad y Alta Disponibilidad
4-Hijacking El hijacking (traducido como "secuestro"), en el ámbito informático hace referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo por parte de un atacante. Es un concepto muy abierto, que se puede aplicar a varios ámbitos; así se encuentra el robo de información, el secuestro de una conexión de red, de sesiones de terminal, servicios, módems, etcétera.
Browser hijacking: ("Secuestro del navegador"). Se llama así a la apropiación que realizan algunos spyware sobre el buscador, lanzando popups, modificando la página de inicio o de búsqueda predeterminada, etcétera. El término "secuestro" hace referencia a que estas modificaciones se hacen sin el permiso ni el conocimiento del usuario. Algunos de estos spyware son fáciles de borrar del sistema operativo, mientras que otros son extremadamente complicados de eliminar y revertir sus cambios.
Dependiendo del navegador que usemos y esté infectado podremos eliminarlo:
Internet Explorer
- Si utiliza Windows 7 o Windows Vista, clic en Inicio. Escriba lo siguiente: "inetcpl.cpl" - Haga clic en el Opciones avanzadas - Restablecer configuración de Internet Explorer, clic en Restablecer en la ventana abierta. - Seleccionar la casilla “Eliminar configuración personal para eliminar el historial de navegación, los proveedores de búsquedas y página principal”
Mozilla Firefox
- Abra Firefox - Ir a Ayuda > Información para solucionar problemas en menú. - Clic en Restablecer Firefox. - Una vez que finalice Firefox, se mostrara una ventana para crear una carpeta en el escritorio. Clic Terminar.
Google Chrome
- Vaya a la carpeta de instalación de Google Chrome: C:\Users\"su nombre de usuario"\AppData\Local\Google\Chrome\Application\User Data. - En la carpeta de User Data, buscar un archivador llamado Default y cambie su nombre por DefaultBackup. - Se creara un nuevo archivador Default.
5-Keyloggers y Stealers Como su nombre lo indica un Keylogger es un programa que registra y graba la pulsación de teclas (y algunos también clics del mouse). La información recolectada será utilizada luego por la persona que lo haya instalado. Actualmente existen dispositivos de hardware o bien aplicaciones (software) que realizan estas tareas.
Ernesto Martín Pintado SAD Página 5
Seguridad y Alta Disponibilidad
Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra computadora y el teclado. Son difíciles de identificar para un usuario inexperto pero si se presta atención es posible reconocerlos a simple vista.
Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que registrar a un usuario mediante este accionar puede interpretarse como una violación a su privacidad. Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y firmada por el usuario.
Para eliminar por completo Keyloggers se deberá hacer usando un programa anti-spyware de confianza. Con el fin de evitar la pérdida de programas legítimos que son importantes para la funcionalidad y estabilidad del PC. Se recomienda usar estos programas: Reimage, Malwarebytes Anti Malware.
6-Botnets, Rogue, y Criptovirus Botnets
Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crean un botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para crear un botnet. Los botnets pequeños pueden incluir cientos de PCs infectados, mientras que los mayores utilizan millones de equipos.
El uso más común de los botnets son lo ataques DDoS. Estos ataques utilizan la potencia del ordenador y el ancho de banda de cientos o miles de equipos para enviar gran cantidad de tráfico a una página web específica y sobrecargar dicho site. Existen diferentes tipos de ataques DDoS, pero el objetivo siempre es el mismo: colapsar una web. Los atacantes usaban esta táctica para derribar las páginas de sus enemigos.
- Defensa:
Existen diferentes formas de defensa frente a los ataques DDoS, pero casi todas ellas operan a nivel de servidor o ISP. Para los usuarios, la defensa frente a un botnet empieza actualizando todo el software de su equipo y evitando pinchar en enlaces sospechosos. Los hackers se aprovechan de la ingenuidad de los usuarios a la hora de abrir archivos maliciosos o hacer click en enlaces que esconden un malware. Si eliminamos esa parte de la ecuación, les será más difícil a los cibercriminales infectar nuestro equipo y construir un botnet.
Rogue
Rogue software (en español conocido como software bandido o también falso antivirus) es un tipo de programa informático malicioso cuya principal finalidad es la de hacer creer que una computadora está infectada por algún tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo.
Ernesto Martín Pintado SAD Página 6
Seguridad y Alta Disponibilidad
Este tipo de software suele descargarse e instalarse de forma oculta y en contra de la voluntad del usuario directamente desde Internet. Sin embargo, en ocasiones se presenta bajo la forma de la versión de prueba de un producto antimalware que el usuario descarga de buena fe.
En el caso de aquellos que se manifiestan bajo la forma de una versión de prueba, actúan generando falsos positivos a propósito detectando malware inexistente. Al ser una versión de prueba, informa al usuario que para eliminarlos requerirá comprar la versión completa de la aplicación.
A menos que el rogue software sea demasiado nuevo, los antivirus y antispyware de mayor renombre actualizados pueden evitar la instalación y la activación de los mismos.
En caso de que aún no haya sido detectado por ninguna empresa fabricante de productos antimalware, será necesario hallar los archivos infectados y desinfectarlos de forma manual, lo que posee una complejidad extrema. Malwarebytes Anti Malware es un ejemplo.
Criptovirus
Los virus de tipo “Crypto” son secuestradores (ransomware) que bloquean archivos valiosos para chantajear al usuario. A diferencia del virus de la policía, que amenaza con denunciar las autoridades, los criptovirus no se hacen pasar por nadie, sino que toman documentos del disco duro, los bloquean y piden un rescate cuantioso.
Cómo actuar en caso de infección
Lo primero que hay que hacer nada más ver el aviso de CryptoWall o CryptoLocker es apagar el ordenador lo antes posible. Cuanto más tiempo dejes que el virus actúe, más archivos podrá bloquear. Es por ello que, idealmente, solo debes actuar desde el Modo a prueba de errores o bien usando un CD/DVD de arranque con antivirus incorporado.
Si optas por reiniciar en Modo a prueba de fallos, puedes usar un antivirus portátil, como Norton Power Eraser o Avira PC Cleaner, que encontrarán el virus y lo borrarán por completo.
7-AUTORUN.INF Autorun.INF es un gusano que se reproduce creando copias de sí mismo, sin infectar otros archivos.
Autorun.INF utiliza los siguientes métodos de propagación o distribución:
- Explotación de vulnerabilidades con intervención del usuario: aprovecha vulnerabilidades en formatos de archivo o aplicaciones. Para explotarlas con éxito,
Ernesto Martín Pintado SAD Página 7
Seguridad y Alta Disponibilidad
necesita de la intervención del usuario: apertura de archivos, visita a páginas web maliciosas, lectura de mensajes de correo, etc. - Redes de ordenadores (unidades mapeadas): crea copias de sí mismo en las unidades de red mapeadas. - Redes de ordenadores (recursos compartidos): crea copias de sí mismo en los recursos compartidos de red a los que consigue acceder. - Infección de archivos: infecta archivos de distintos tipos, que posteriormente son distribuidos a través de cualquiera de las vías habituales: disquetes, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales de IRC y redes de intercambio de archivos entre pares (P2P), etc.
Método de Propagación
Propagación a través de unidades mapeadas:
Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.
Propagación a través de recursos compartidos de red:
Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas. Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Distribución de archivos infectados:
Autorun.INF no se propaga automáticamente por sus propios medios, sino que infecta archivos del siguiente tipo:
Llega a otros ordenadores cuando se distribuyen los archivos previamente infectados, que pueden entrar al ordenador a través de cualquiera de las vías habituales: disquetes, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales de IRC y redes de intercambio de archivos entre pares (P2P), etc.
¿Qué medidas de seguridad puede tomar?
- Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección, con el fin de eliminarlo - Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo utiliza - Desactivación de la Auto ejecución del sistema operativo.
USB Doctor es una utilidad desarrollada en base al estudio del malware que aprovecha los dispositivos de almacenamiento extraíble para propagarse. La tarea de USB Doctor es proteger
Ernesto Martín Pintado SAD Página 8
Seguridad y Alta Disponibilidad a los dispositivos con infecciones de malware que se ejecutan al conectar el dispositivo a cualquier PC, impidiendo así su ejecución.
USB Doctor vacuna su dispositivo contra los virus que se alojan en el autorun.inf y también contra variantes como la carpeta recycled o recycler, además USB Doctor tiene protección contra las nuevas variantes de propagación. Es importante señalar que USB Doctor no es un ANTIVIRUS, es decir ningún programa de este tipo lo es, su función principal es proteger contra infecciones automáticas evitando la propagación del virus a su dispositivo y la auto ejecución de estos.
8-Instalación de dos herramientas antimalware Para esta práctica voy a usar el programa “Malwarebytes” que es software que elimina malware, spyware y adware.
Para el uso adecuado del este programa instalaré antes un Keylogger y me registraré en la página “filmaffinity.com” para ver si me detecta la contraseña:
Ernesto Martín Pintado SAD Página 9
Seguridad y Alta Disponibilidad
Me he registrado en la página después de dar clic en “Iniciar”. Cuando he finalizado de inscribirme le doy clic a detener. Puedo ver que se ha generado un fichero nuevo:
Vemos que el Keylogger me ha cogido la contraseña del sitio:
Ahora vamos a usar Malwarebytes para ver si detecta el Keylogger:
Ernesto Martín Pintado SAD Página 10
Seguridad y Alta Disponibilidad
Podemos ver que detecta el Keylogger:
Ahora voy a utilizar el software “SpyShelter” que también trata de detectar malware:
Ernesto Martín Pintado SAD Página 11
Seguridad y Alta Disponibilidad
Al intentar actualizar el Keylogger, en seguida nos salta un aviso de certificado comprometido
Ernesto Martín Pintado SAD Página 12