Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk.
Para poder realizar la instalación del antivirus ponemos en el terminal el siguiente comando.
Ahora se procederá ha hacer un análisis del directorio que nosotros queramos de la siguiente forma:
Se puede observar que nos dice la cantidad de datos escaneados, el tamaño de todo los archivos escaneados y lo que tardo.
11/12/2012 Página 1
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
A continuación le instalaremos el modo grafico con otro comando.
Una vez instalado queremos ejecutar la interfaz grafica para ello en el terminal ponemos clamtk.
11/12/2012 Página 2
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Para poder hacer un escáner de virus en la misma carpeta (/home/descarga) tendremos que pulsar en la pestaña analizar y elegir el directorio.
b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD. Lo primero que se hace es descargarnos la iso donde se ubica el programa para después
arrancar desde el cd.
11/12/2012 Página 3
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Después en nuestra BIOS del equipo lo pondremos para que arranque desde discos extraíbles y entonces nos deberá salir la siguiente pantalla.
Pulsamos la primera opción que servirá para arrancar el programa que queremos. Las siguiente pantalla nos muestra las opciones que contiene dicho programa.
11/12/2012 Página 4
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Realizaremos un escaneo por lo tanto pulsaremos la primera o la segunda opción en mi caso será el primero. Nos preguntara de que zona queremos hacer el análisis si de directorio, disco duro o de algun sector de arranque.
En mi caso se hara de un volumen que después volverá a preguntar de cual lo quieres hacer. E n mi caso solo hay uno porque la segunda es la imagen iso del programa. .
Los tipos de archivos que se escanearan.
Después comenzara el análisis.
11/12/2012 Página 5
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Al finalizar el escaneo se muestra un resumen de todos los archivos analizados.
11/12/2012 Página 6
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas c) Realiza un análisis antimalware a fondo con suite Sysinternals
Lo primero que hacemos como cualquier programa será descargarlo.
Este programa lo instalare en el ordenador anfitrión ya que tiene mucha más información de la que poder obtener. Bueno una vez descargado el archivo comprimido pulsaremos sobre la opción autoruns.
11/12/2012 Página 7
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
A través de esta opción nos muestra que archivos están ejecutándose o se ejecutaran al arrancar el ordenador.
Lo siguiente que hacemos es ver los procesos del ordenador que se encuentran en funcionamiento con el archivo process explorer. Los de color rojo nos dice que son procesos del sistema operativo y decolor hacer usados por el
usuario.
11/12/2012 Página 8
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Para poder realizar un análisis de antimalware nos situamos en ejecutar y escribimos msconfig .
Con la pestaña arranque se muestra en que sistema operativo hemos arrancado
Los servicios y el inicio de Windows
11/12/2012 Página 9
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
d) Análisis antimalware a fondo con las herramientas Trend Micro USA
La primera herramienta que usamos será HouseCall es un explorador muy conocido y eficaz de
Trend Micro™ disponible bajo petición que identifica y elimina virus, troyanos, gusanos, complementos del explorador no deseados y otro tipo de malware. La interfaz grafica es la siguiente.
Ahora procedemos a realizar un análisis del sistema pulsando la opción analizar ahora.
11/12/2012 Página 10
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Otra de las herramientas es Browser Guard 3.0
Proteje de forma activa su explorador contra amenazas de Internet. Browser Guard 3.0 previene
la vulnerabilidad de día 0 y protege contra JavaScript malintencionado que usa heurística avanzada y tecnologías de emulación.
Una vez instalada se muestra en la parte inferior derecha de la pantalla como activo.
11/12/2012 Página 11
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
La herramienta HijackThis genera un informe exhaustivo de la configuración del registro y de los archivos del ordenador, lo que permite eliminar elementos del PC de forma selectiva. También incluye herramientas para eliminar manualmente el malware del PC.
La interfaz grafica es la siguiente:
Pulsaremos la primera opción para que nos haga un análisis. Podemos ver los resultados además de un archivo con todo como lo indicamos en la primera
opción.
11/12/2012 Página 12
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
RuBotted monitoriza su equipo en busca de infecciones potenciales y actividades sospechosas asociadas con redes zombi. Redes zombi son archivos malintencionados que habilitan a los delincuentes cibernéticos controlar en secreto su equipo. Al descubrir una infección potencial, RUBotted los identificará y limpiará con HouseCall.
e) Instala software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Utiliza el software Malwarebytes para Windows.
Una vez instalado se nos muestra lo siguiente. Para que empieze a grabar únicamente se pulsara el botón rojo que significa grabar.
Para protegerse de una manera eficaz, es conveniente tener instalado un buen antivirus (ya que muchos keyloggers son detectados como troyanos) o específicamente un antikeylogger que es muy ligero y se puede descargar gratuitamente.
11/12/2012 Página 13
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Ahora instalaremos un antimalware para poder comprobar si de verdad lo detecta y lo elimina.
Podemos ver que si lo detecta.
11/12/2012 Página 14
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el sistema?
Hijacking significa "secuestro" en inglés y en el ámbito informático hace referencia a toda técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta
manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere.
Browser hijacking: (Secuestro de navegadores). Se llama así al efecto de apropiación que
realizan algunos spyware sobre el navegador web lanzando popups, modificando la página de inicio, modificando la página de búsqueda predeterminada etc. Es utilizado por un tipo de software malware el cual altera la configuración interna de los navegadores de internet de un ordenador. El término "secuestro" hace referencia a que éstas modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de éstos son fáciles de eliminar del sistema, mientras que otros
son extremadamente complicados de eliminar y revertir sus cambios.
Para eliminar un Browser Hijacker de forma manual, lo que debe hacer es:
1. Eliminar los procesos del Hijack que suelen tener nombre raros como lo que se muestran. seta.exe desktoplayer.exe
dwm.exe A3.exe
2. Detectar y eliminar los archivos del Hijack, que suelen estar en carpetas del usuario.
C:Documents and Settings[user]Local SettingsTempdwm.exe C:Documents and Settings[user]Application DataMicrosoftsvchost.exe
C:Documents and Settings[user]Local SettingsTempA3.exe C:Program FilesMicrosoftdesktoplayer.exe C:Documents and Settings[user]Application DataIdviavogbi.exe
C:Documents and Settings[user]Application DataDyfewesemy.exe C:Documents and Settings[user]Application DataMicrosoftWindowsshell.exe
11/12/2012 Página 15
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
3. Eliminar valores de registro del Hijack como los que se muestran ahora. HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun1 HKEY_CURRENT_USERSOFTWAREMicrosof tWindowsCurrentVersionPoliciesExplorerDisallowRun2 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun3
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun4 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun5 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun6 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun15 HKEY_LOCAL_MACHINESOFTWAREMicrosof tWindows NTCurrentVersionWinlogonUserinit
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit
g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo .
Se denomina AutoRun a la capacidad de varios sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash.
Normalmente, los archivos AUTORUN.INF, no son archivos maliciosos, y simplemente contienen información de los programas que pueden ejecutarse automáticamente cuando un dispositivo de almacenamiento removible (memorias USB, CDs, etc.), son insertados en la computadora.
USB Vaccine, es la herramienta perfecta para que nuestro ordenador no se infecte por Usb's y
Cd's ya infectados. Lo que hace esta herramienta es desactivar definitivamente el autoarranque, ya que la mayoría de los virus se están infectando de esta manera, Panda USB Vaccine hace que nuestro ordenador no tome en cuenta el Autorun.inf, tanto como los dispositivos extraíbles como también las unidades ópticas.
¿Cómo desactivar la ejecución automática?
Se trata de desactivar el “autorun” en nuestro equipo, para que cuando insertemos un memoria USB infectada, no extendamos el virus que contenga a nuestro equipo.
Instrucciones para desactivar la ejecución automática de las memorias USB en Windows XP:
1. Menú Inicio > Ejecutar > escribimos gpedit.msc.
2. Directiva de equipo local > Configuración de equipo > Plantillas adminnistrativas > Sistema
3. En la ventana de la derecha, buscamos la configuración del sistema, “Desactivar reproducción automática”, (hacemos doble click con el botón derecho del ratón), señalamos la opción “Habilitar”, y elegimos la opción, “Desactivar reproducción automática en: Todas las unidades“.
11/12/2012 Página 16
Seguridad y Alta disponibilidad Profesor: José Sanchez-Migallón Alumno: Adrián de la Torre López
Tema 2 - Practica 1 Herramientas paleativas
Borrar archivo autorun.inf
La consola de CMD también conocida como Símbolo del sistema o intérprete de comandos, es una de las más poderosas herramientas que incluye Windows. Permite realizar casi cualquiera
acción en el sistema operativo con todos los privilegios. Para ejecutarla se introducen comandos específicos. Aunque se piense que para usarla se requieren conocimientos avanzados, no es así, solo sigue las siguientes instrucciones. • Abre la consola, para eso escribe en el cuadro de Inicio o en Ejecutar: CMD y presiona la tecla
ENTER. • Abre el explorador o MiPC y arrastra el directorio o carpeta de la unidad donde se encuentra el archivo autorun.inf que se desea eliminar, encima de la ventana de la consola y suéltalo. • Presiona una vez la barra espaciadora. • Escribe en la consola: DEL *.INF /F /Q /A:RHS
• Presiona la tecla ENTER
11/12/2012 Página 17