2011- 2012 UD2: Documentación 1 Herramientas Paliativas José Jiménez Arias IES Gregorio Prieto 2011-2012 UD2: Documentación 1 Herramientas Paliativas 2011-2012 ÍNDICE a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD que se puede iniciar desde un CD o flash USB. Documenta dicho proceso. c) En tu ordenador, realiza un análisis antimalware a fondo. Msconfig. Software de Microsoft : Suite Sysinternals:Autoruns y Process Explorer d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las herramientas gratuitas de Trend Micro USA: HouseCall. Browser Guard 2011. HiJackThis. RUBotted. e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Piensa como prevenir este software e informa en un documento. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?. f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el sistema?. g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. Alumno: José Jiménez Arias 2 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. 1. Instalamos ClamAV. Instalamos el software con la sentencia apt-get install clamav Escaneamos con la sentencia: clamav –r –i /etc Inmediatamente después podemos observar el resultado de este. Alumno: José Jiménez Arias 3 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 2. Instalamos Clamtk Instalamos el programa con la sentencia apt-get install clamtk. Con el comando: clamtk iniciamos el programa. Ejecutamos el programa, realizamos un análisis, y el resultado del scaner es el siguiente. Alumno: José Jiménez Arias 4 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD. Vamos a la página oficial y descargamos. Seleccionamos el tipo de descarga que necesitamos. Nos dirigimos a la BIOS y en esta cambiamos la secuencia de arranque para que inicie desde el cd. A continuación vemos el aspecto del programa: Seleccionamos la opción scan para realizar un análisis: Alumno: José Jiménez Arias 5 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 En la siguiente pantalla nos permite elegir el tipo de análisis, en nuestro caso seleccionamos la primera opción del menú “Scan inside archives”. Comienza el análisis: Por último podemos observar el resultado del análisis: 2 Infecciones y 1warning. Alumno: José Jiménez Arias 6 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 c) En tu ordenador, realiza un análisis antimalware a fondo. Vamos a Inicio ejecutar y escribimos msconfig: Software de Microsoft: Suite Sysinternals. Utiliza entre otros: Autoruns y Process Explorer Vamos a la página oficial de sysinternals. Alumno: José Jiménez Arias 7 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Process explorer. Descargamos e instalamos Process explorer. El resultado es el siguiente: Alumno: José Jiménez Arias 8 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Autoruns Descargamos e instalamos Autoruns. El resultado es el siguiente: Alumno: José Jiménez Arias 9 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando herramientas gratuitas. Utiliza las herramientas: HouseCall HouseCall es una herramienta gratuita basada en la Web que está diseñada para detectar en el PC una amplia gama de amenazas en seguridad de Internet, como virus, gusanos, troyanos y spyware. También detecta las vulnerabilidades del sistema y proporciona un enlace que le permite descargar fácilmente los parches de seguridad que faltan. Después de cada exploración, HouseCall entrega un informe detallado que identifica las amenazas de seguridad detectadas en el equipo. Descargamos e instalamos el software. Analizamos el equipo y observamos el resultado: Podemos ver como se realiza el análisis, al final de este no detecto ningún malware. Alumno: José Jiménez Arias 10 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Browser Guard 2011 Trend Micro Browser Guard es una herramienta fácil de usar plug-in, lo que evita las amenazas conocidas y desconocidas de Internet. Ataques de día cero, como Aurora y Hydraq puede ser proactiva bloqueado por Browser Guard, que detecta y previene el comportamiento asociado con este tipo de amenazas. Los cibercriminales utilizan a menudo JavaScript malicioso insertado en páginas web, donde los ataques pueden tener lugar en silencio, sin ningún efecto visible. Browser Guard también lo protege de este tipo de ataques mediante el análisis y el bloqueo posteriormente JavaScript malicioso. Para la detección más avanzada y eficiente, Browser Guard se comunica con la red de Trend Micro Smart Protection Network, que trae las últimas protecciones cuando usted navega por la web. Ventajas clave Protege contra ataques de día cero Detecta buffer-overflow y ataques spray heap Protege contra la ejecución de código shell Analiza y protege contra software malicioso JavaScript Se conecta con Trend Micro Smart Protection Network para maximizar las detecciones Descargamos e instalamos el programa. Alumno: José Jiménez Arias 11 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 HiJackThis Es una utilidad gratuita que genera un informe detallado de la configuración de archivos y del Registro del equipo. HijackThis no establece ninguna separación entre la configuración segura y no segura en los resultados de su exploración, lo que permite eliminar del equipo los elementos deseados. Además de esta capacidad de exploración y eliminación, HijackThis incluye varias herramientas útiles para eliminar manualmente el malware de un equipo. Descargamos e instalamos el software HiJackThis. Pulsamos en la ventana seleccionada para realizar un análisis y tras este se guarde el resultado en un fichero. O en la pestaña “Do a system scan only” simplemete para realizar un análisis. Pulsamos en scan: Alumno: José Jiménez Arias 12 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Tras el análisis podemos observar el resultado de este y los hijackthis detectados: Alumno: José Jiménez Arias 13 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 RUBotted. RuBotted monitoriza su equipo en busca de infecciones potenciales y actividades sospechosas asociadas con redes zombi. Redes zombi son archivos malintencionados que habilitan a los delincuentes cibernéticos controlar en secreto su equipo. Al descubrir una infección potencial, RUBotted los identificará y limpiará con HouseCall. Descargamos e instalamos el software. Realizamos un análisis y el resultado lo podemos observar en la siguiente pantalla: No hay botnet en nuestro equipo. Alumno: José Jiménez Arias 14 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Revealer no está disponible para sistema operativo Windows 7, realizaremos la práctica sobre el sistema operativo Windows Xp SP3. Descargamos e instalamos el software. Observamos el aspecto de la aplicación y sus diversas pestañas. Tecleamos para ver que el software funciona. A continuación maximizamos la pantalla y podemos observar lo que el usuario josejimenez, el miércoles, 23 de noviembre de 2011. Alumno: José Jiménez Arias 15 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Para seleccionar los registros escritos en un determinado día tenemos un calendario. También nos permitir ver los resgistros de determinados usuarios. Alumno: José Jiménez Arias 16 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Piensa como prevenir este software e informa en un documento. A continuación instalamos un antimalware y observamos el resultado. Utiliza el software Malwarebytes para Windows. ¿Lo detecta? Nada mas descargar el instalador, el sistema operativo mostró este mensaje: En primer lugar descargamos e instalamos el software malwarebytes. A continuación realizamos un análisis completo. Alumno: José Jiménez Arias 17 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 Ahora seleccionamos las unidades que queremos analizar: Seleccionamos C y D puesto que no tenemos unidad a en nuestro equipo. Resultado del análisis: El keylogger es detectado. Alumno: José Jiménez Arias 18 Módulo: Seguridad y Alta disponibilidad UD2: Documentación 1 Herramientas Paliativas 2011-2012 f) Investiga en Internet el término: Hijacker. Técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios,