1-Instala en GNU/Linux el antivirus ClamAV, y su versión ... · Los creadores de adware lo que quieren es ganar dinero, por lo tanto, el dinero es su objetivo principal. Ese dinero

Seguridad y Alta Disponibilidad

Ernesto Martín Pintado SAD Página 1

Herramientas paliativas. Antimalware

1-Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica

Clamtk

Clamav Instalamos con “sudo aptitude install clamav”.

Ya lo tengo instalado, ahora voy a abrirlo y a escanear:



Clamtk Instalamos el programa “sudo aptitude install clamtk”

Le damos a analizar carpeta y seleccionamos el directorio “Descargas”



No se han encontrado amenazas.

2-Spyware En el mundo de la informática el software espía (spyware) se instala en nuestro sistema con la

finalidad de robar nuestros datos y espiar nuestros movimientos por la red. Luego envían esa

información a empresas de publicidad de internet para comercializar con nuestros datos.

Trabajan en modo ‘background’ (segundo plano) para que no nos percatemos de que están

hasta que empiecen a aparecer los primeros síntomas.

Un spyware típico se auto instala en el sistema afectado de forma que se ejecuta cada vez que

se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del

ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y

mostrando anuncios relacionados.

Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que

funciona como un parásito.

Las consecuencias de una infección de spyware moderada o severa (aparte de las cuestiones

de privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema

(hasta un 50 % en casos extremos), y problemas de estabilidad graves (el ordenador se queda

"colgado"). También causan dificultad a la hora de conectar a Internet. Algunos ejemplos de

programas espía conocidos son Gator o Bonzi Buddy.



Determinar si el ordenador realmente está infectado por spyware: Para determinar si el

ordenador está infectado o no, necesitamos un software especializado en detectar e

identificar virus. Antispyware software es un software especializado en detectar spyware.

Para detectar y eliminar spyware en Windows podemos usar software Spyhunter:

- Su uso es muy fácil, detecta el spyware de forma correcta y rápida.

- Es muy eficaz, detecta y elimina de manera segura.

- En caso que haya problemas, crean una solución adaptada a tus necesidades.

Para detectar y eliminar malware en Mac recomiendo el software Mackeeper:

- Su uso es fácil y sencillo, busca y encuentra el spyware con seguridad.

- Es muy eficaz, lo hace de forma rápida.

- Es mucho más que un antivirus, MacKeeper es capaz de limpiar, reparar e acelerar el

Mac.

3-Adware Adware viene de la palabra “ad” que en inglés se utiliza para decir publicidad. Y ese es

justamente el objetivo de este malware, mostrar anuncios. Adware a veces puede ser fácil o

difícil de detectar e eliminar.

Para explicar qué es un adware es importante saber cuál es su objetivo.

Los creadores de adware lo que quieren es ganar dinero, por lo tanto, el dinero es su objetivo

principal. Ese dinero lo ganan mostrando anuncios de muchas formas, las más conocidas son:

- Pop-up mensajes con anuncios cuando navegas en internet.

- Office ads: Cuando en un documento escribes una palabra el malware la puede utilizar

para mostrar un anuncio y te marca la palabra en un formato diferente. Cada vez que

pases el ratón por encima de la palabra, te saldrá el anuncio.

- Redirecciones a páginas webs que el usuario no quiere, por ejemplo: el usuario quiere ir

a la página web de google, pero el navegador en vez de ir a google, carga una página

web a la cual quiere ir el adware.

¿Cómo puedes saber que tu sistema está contagiado?

- Sistema funciona más lento de lo normal

- Internet va lento

- Anuncios no deseados

Si tu sistema tiene uno de estos síntomas, es recomendable que verifiques si hay un malware

presente. Para determinar la presencia de malware, necesitas un programa especial.

Antismalware es un software especializado en detectar y eliminar spyware, adware y otros

tipos de malignos software. El uso de antimalware es muy fácil, es solo cuestión de descargarlo

e instalarlo. Una vez instalado, tienes la opción de que el programa te ha un escaneo del

sistema. El software antispyware analiza el sistema buscando procesos o actividades

sospechosos.



4-Hijacking El hijacking (traducido como "secuestro"), en el ámbito informático hace referencia a toda

técnica ilegal que lleve consigo el adueñarse o robar algo por parte de un atacante. Es un

concepto muy abierto, que se puede aplicar a varios ámbitos; así se encuentra el robo de

información, el secuestro de una conexión de red, de sesiones de terminal, servicios, módems,

etcétera.

Browser hijacking: ("Secuestro del navegador"). Se llama así a la apropiación que realizan

algunos spyware sobre el buscador, lanzando popups, modificando la página de inicio o de

búsqueda predeterminada, etcétera. El término "secuestro" hace referencia a que estas

modificaciones se hacen sin el permiso ni el conocimiento del usuario. Algunos de estos

spyware son fáciles de borrar del sistema operativo, mientras que otros son extremadamente

complicados de eliminar y revertir sus cambios.

Dependiendo del navegador que usemos y esté infectado podremos eliminarlo:

Internet Explorer

- Si utiliza Windows 7 o Windows Vista, clic en Inicio. Escriba lo siguiente: "inetcpl.cpl"

- Haga clic en el Opciones avanzadas

- Restablecer configuración de Internet Explorer, clic en Restablecer en la ventana abierta.

- Seleccionar la casilla “Eliminar configuración personal para eliminar el historial de

navegación, los proveedores de búsquedas y página principal”

Mozilla Firefox

- Abra Firefox

- Ir a Ayuda > Información para solucionar problemas en menú.

- Clic en Restablecer Firefox.

- Una vez que finalice Firefox, se mostrara una ventana para crear una carpeta en el

escritorio. Clic Terminar.

Google Chrome

- Vaya a la carpeta de instalación de Google Chrome: C:\Users\"su nombre de

usuario"\AppData\Local\Google\Chrome\Application\User Data.

- En la carpeta de User Data, buscar un archivador llamado Default y cambie su nombre

por DefaultBackup.

- Se creara un nuevo archivador Default.

5-Keyloggers y Stealers Como su nombre lo indica un Keylogger es un programa que registra y graba la pulsación de

teclas (y algunos también clics del mouse). La información recolectada será utilizada luego por

la persona que lo haya instalado. Actualmente existen dispositivos de hardware o bien

aplicaciones (software) que realizan estas tareas.



Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra computadora y

el teclado. Son difíciles de identificar para un usuario inexperto pero si se presta atención es

posible reconocerlos a simple vista.

Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que

registrar a un usuario mediante este accionar puede interpretarse como una violación a su

privacidad. Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y

firmada por el usuario.

Para eliminar por completo Keyloggers se deberá hacer usando un programa anti-spyware de

confianza. Con el fin de evitar la pérdida de programas legítimos que son importantes para la

funcionalidad y estabilidad del PC. Se recomienda usar estos programas: Reimage,

Malwarebytes Anti Malware.

6-Botnets, Rogue, y Criptovirus Botnets

Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados

por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crean un

botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son

parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para

crear un botnet. Los botnets pequeños pueden incluir cientos de PCs infectados, mientras que

los mayores utilizan millones de equipos.

El uso más común de los botnets son lo ataques DDoS. Estos ataques utilizan la potencia del

ordenador y el ancho de banda de cientos o miles de equipos para enviar gran cantidad de

tráfico a una página web específica y sobrecargar dicho site. Existen diferentes tipos de

ataques DDoS, pero el objetivo siempre es el mismo: colapsar una web. Los atacantes usaban

esta táctica para derribar las páginas de sus enemigos.

- Defensa:

Existen diferentes formas de defensa frente a los ataques DDoS, pero casi todas ellas operan a

nivel de servidor o ISP. Para los usuarios, la defensa frente a un botnet empieza actualizando

todo el software de su equipo y evitando pinchar en enlaces sospechosos. Los hackers se

aprovechan de la ingenuidad de los usuarios a la hora de abrir archivos maliciosos o hacer click

en enlaces que esconden un malware. Si eliminamos esa parte de la ecuación, les será más

difícil a los cibercriminales infectar nuestro equipo y construir un botnet.

Rogue

Rogue software (en español conocido como software bandido o también falso antivirus) es un

tipo de programa informático malicioso cuya principal finalidad es la de hacer creer que una

computadora está infectada por algún tipo de virus, induciendo a pagar una determinada

suma de dinero para eliminarlo.



Este tipo de software suele descargarse e instalarse de forma oculta y en contra de la voluntad

del usuario directamente desde Internet. Sin embargo, en ocasiones se presenta bajo la forma

de la versión de prueba de un producto antimalware que el usuario descarga de buena fe.

En el caso de aquellos que se manifiestan bajo la forma de una versión de prueba, actúan

generando falsos positivos a propósito detectando malware inexistente. Al ser una versión de

prueba, informa al usuario que para eliminarlos requerirá comprar la versión completa de la

aplicación.

A menos que el rogue software sea demasiado nuevo, los antivirus y antispyware de mayor

renombre actualizados pueden evitar la instalación y la activación de los mismos.

En caso de que aún no haya sido detectado por ninguna empresa fabricante de productos

antimalware, será necesario hallar los archivos infectados y desinfectarlos de forma manual, lo

que posee una complejidad extrema. Malwarebytes Anti Malware es un ejemplo.

Criptovirus

Los virus de tipo “Crypto” son secuestradores (ransomware) que bloquean archivos valiosos

para chantajear al usuario. A diferencia del virus de la policía, que amenaza con denunciar las

autoridades, los criptovirus no se hacen pasar por nadie, sino que toman documentos del disco

duro, los bloquean y piden un rescate cuantioso.

Cómo actuar en caso de infección

Lo primero que hay que hacer nada más ver el aviso de CryptoWall o CryptoLocker es apagar el

ordenador lo antes posible. Cuanto más tiempo dejes que el virus actúe, más archivos podrá

bloquear. Es por ello que, idealmente, solo debes actuar desde el Modo a prueba de errores o

bien usando un CD/DVD de arranque con antivirus incorporado.

Si optas por reiniciar en Modo a prueba de fallos, puedes usar un antivirus portátil, como

Norton Power Eraser o Avira PC Cleaner, que encontrarán el virus y lo borrarán por completo.

7-AUTORUN.INF Autorun.INF es un gusano que se reproduce creando copias de sí mismo, sin infectar otros

archivos.

Autorun.INF utiliza los siguientes métodos de propagación o distribución:

- Explotación de vulnerabilidades con intervención del usuario: aprovecha

vulnerabilidades en formatos de archivo o aplicaciones. Para explotarlas con éxito,



necesita de la intervención del usuario: apertura de archivos, visita a páginas web

maliciosas, lectura de mensajes de correo, etc.

- Redes de ordenadores (unidades mapeadas): crea copias de sí mismo en las unidades de

red mapeadas.

- Redes de ordenadores (recursos compartidos): crea copias de sí mismo en los recursos

compartidos de red a los que consigue acceder.

- Infección de archivos: infecta archivos de distintos tipos, que posteriormente son

distribuidos a través de cualquiera de las vías habituales: disquetes, mensajes de correo

electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a

través de FTP, canales de IRC y redes de intercambio de archivos entre pares (P2P), etc.

Método de Propagación

Propagación a través de unidades mapeadas:

Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.

Propagación a través de recursos compartidos de red:

Autorun.INF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas. Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.

Distribución de archivos infectados:

Autorun.INF no se propaga automáticamente por sus propios medios, sino que infecta archivos del siguiente tipo:

Llega a otros ordenadores cuando se distribuyen los archivos previamente infectados, que pueden entrar al ordenador a través de cualquiera de las vías habituales: disquetes, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales de IRC y redes de intercambio de archivos entre pares (P2P), etc.

¿Qué medidas de seguridad puede tomar?

- Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección,

con el fin de eliminarlo

- Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo

utiliza

- Desactivación de la Auto ejecución del sistema operativo.

USB Doctor es una utilidad desarrollada en base al estudio del malware que aprovecha los

dispositivos de almacenamiento extraíble para propagarse. La tarea de USB Doctor es proteger



a los dispositivos con infecciones de malware que se ejecutan al conectar el dispositivo a

cualquier PC, impidiendo así su ejecución.

USB Doctor vacuna su dispositivo contra los virus que se alojan en el autorun.inf y también

contra variantes como la carpeta recycled o recycler, además USB Doctor tiene protección

contra las nuevas variantes de propagación. Es importante señalar que USB Doctor no es un

ANTIVIRUS, es decir ningún programa de este tipo lo es, su función principal es proteger contra

infecciones automáticas evitando la propagación del virus a su dispositivo y la auto ejecución

de estos.

8-Instalación de dos herramientas antimalware Para esta práctica voy a usar el programa “Malwarebytes” que es software que elimina

malware, spyware y adware.

Para el uso adecuado del este programa instalaré antes un Keylogger y me registraré en la

página “filmaffinity.com” para ver si me detecta la contraseña:



Me he registrado en la página después de dar clic en “Iniciar”. Cuando he finalizado de

inscribirme le doy clic a detener. Puedo ver que se ha generado un fichero nuevo:

Vemos que el Keylogger me ha cogido la contraseña del sitio:

Ahora vamos a usar Malwarebytes para ver si detecta el Keylogger:



Podemos ver que detecta el Keylogger:

Ahora voy a utilizar el software “SpyShelter” que también trata de detectar malware:



Al intentar actualizar el Keylogger, en seguida nos salta un aviso de certificado comprometido

Documents

1-Instala en GNU/Linux el antivirus ClamAV, y su versión ... · Los creadores de adware lo que quieren es ganar dinero, por lo tanto, el dinero es su objetivo principal. Ese dinero