Consejos Utilies para Lidiar con Malware / Virus

de Internet

(use esta información bajo su propia responsabilidad)

Recientemente una de las PC en las que trabajamos, recibio el impacto de un Malware / Virus. Como consecuencia de esto tuve que dedicar algunas horas para decifrar y erradicar el malware de la PC. En este documento compartimos información, las medidas que tomamos y las herramientas que utilizamos para lidiar efectivamente con el Malware.

¿Que es Malware?

El termino Malware proviene de MAL icious soft WARE , o programas maliciosos. El término "malware" puede ser definido como "cualquier programa, documento o mensaje distribuido con la intención de causar daños (u obtener información no autorizada) a/de sistemas de información o equipos de computación". El Malware incluye principalmente Virus, Spyware, y Gusanos. Los virus pueden tener diferentes propósitos, características y capacidad de daño.

Virus
Programa que se duplica a sí mismo en un sistema de pc incorporándose a otros programas que son utilizados por el los usuarios. Software usado para modificar,destruir datos de una PC o utilizar una PC para dirigir instrucciones o ataques dañinos a otras computadoras.

Una vez escrito el código del virus, se oculta en un programa existente. Al ejecutar el programa, el código del virus también se activa y agrega copias de sí mismo a otros programas en el sistema. Los programas infectados copian el virus a otros programas y obedecen instrucciones específicas del virus. Por ejemplo, existen virus que pueden permanecer inactivos en su PC hasta una fecha en particular, fecha definida en el codigo del virus para realizar las instrucciones dañinas.

Este tipo de programas pueden actuar de diversas maneras como son: I- Solamente advertir al usuario de su presencia, sin causar daño aparente. II- Tratar de pasar desapercibidos para causar el mayor daño posible.III- Adueñarse de las funciones principales (infectar los archivos de sistema.

Virus en el correo electrónico
Los virus no pueden viajar en mensajes de correo electrónico, ya que únicamente utilizan el formato de 7 bits para transferir texto. La única manera en que pueden viajar es por archivos atachados (attachment o archivos adjuntos) al mensaje de texto. Es recomendable NUNCA abrir emails de personas desconocidas mas si incluyen attachments.

Macro-Virus
Es la última presentación de los virus. Viajan en plantillas de archivos de aplicación (Word, Excel, etc) y no en archivos binarios (archivos ejecutables con extension .EXE, .COM u otra; como lo hacen los virus tradicionales). Se puede encontrar ayuda para este tipo de virus en Microsoft: (http://www.microsoft.com)

Así, los virus son tan sólo una parte de un conjunto cada vez más amplio, en el que también tienen sitio otras amenazas informáticas. Entre ellas se encuentran el spam, los dialers, o el spyware.

Gusano: Programa capaz de copiarse a si mismo a otras computadoras conectadas a una red (incluido Internet), generalmente a través del correo electrónico, o de recursos compartidos. Originalmente, se le llamó gusano (worm) a aquél programa capaz de copiarse a si mismo hasta agotar la memoria disponible. Los gusanos normalmente abren BACKDOORS o puertas traseras para permitir la entrada al sistema o PC de otros codigos dentro de la familia de Malware. Algunos ejemplos son Spyware y Virus.

Spyware:

Programa que monitorea y recolecta información sobre los hábitos del usuario al navegar en Internet y los envía normalmente de forma secreta a empresas de publicidad. Fuente Reuters: Programas que tienen la capacidad de analizar sistemas o supervisar la información que se envía a otros equipos o ubicaciones en el ciberespacio. Dentro de la información, ya sea activa o pasiva, que recopila y disemina el Spyware están: contraseñas, detalles de un inicio de sesión, nombres de cuentas, información personal, archivos individuales y otros documentos personales. Un Spyware, también puede colectar y distribuir información personal del usuario del equipo, aplicaciones que se ejecutan en el equipo, hábitos de navegación en Internet u otros hábitos.

Frecuentemente, tratan de pasar inadvertidos, ya sea escondiéndose de forma activa o simplemente no mostrándose en el sistema y pasar por un sistema desconocido para el usuario. Spyware se puede descargar desde los sitios Web (por lo general en software compartido o gratuito), mensajes de correo electrónico y mensajes instantáneos. Además, es probable que un usuario active el Spyware sin saberlo al aceptar un Contrato de licencia de usuario final desde un programa de software vinculado al Spyware o al visitar un sitio Web que descarga el Spyware con o sin Contrato de licencia de usuario final

¿Como sabemos que la PC ha sido infectada o que hubo un intento de infectar la misma?

En ocaciones será muy díficil particularmente si el Virus o Gusano ha sido bien diseñado y si explota alguna vulneravilidad del Sistema Operativo de la PC. Lo mejor es PREVENIR que estos puedan llegar a su PC! Una vez la PC ha sido infectada, entonces se tandrá que invertir tiempo y esfuerzo a erradicar el Malware. Los principales sintomas de una infección se incluyen a bajo. Normalmente, se pued notar algún funcionamiento erratico o perdida de capacidad en la PC. Algunos Virus notificar la infección. En tal caso, anote el mensaje que produce el virus y luego en una busqueda por Internet podrá conocer que Virus le ha infectado. Akgunos Virus o Gusanos también puedn afectar el funcionamiento de Internet Explorer, esto se le conoce como una hijack del programa.

Fuente: http://www.soyentrepreneur.com

1. Archivos dañados o corruptos

2. Archivos borrados

3. Formateo involuntario del disco duro

4. Presentación de texto, video o audio en nuestra PC

5. Uso de memoria por algún "programa no identificado"

6. Comportamiento errático del sistema

7. Congelamiento del sistema

8. Disminución del desempeño de la PC

9. Aumento en el tamaño de los archivos

10.Envío de correos de forma automática y no autorizada

11. Cambios en fecha y hora del sistema o de los archivos

12. Algunos programas tardan más en cargar

13. Aumento del uso del espacio en el disco duro

14. Mensajes inusuales de error

15. Problemas para la conexión a la red interna o a Internet

16. Programas que fallan al ejecutarse

17. En Word no se ve el menú de herramientas

18.En Excel se alteran valores de celdas

19. Los documentos sólo pueden guardarse como plantillas

EJEMPLO DE UNA INFECCION

Ejemplo de un Virus/Gusano hijack de IE. Hace una par de dias, mientras intentaba accesar el Web Site de una empresa que produce software que utilizamos en politicaboricua.com note un mensaje raro en el cual me decia que ese dominio habia expirado. No podia accesar esa direcion web. Luego note lo mismo para la página slashdot.org Vea estas screen capture de SLASHDOT.ORG, ENDI.COM, y Zonai.COM:

En ese momento siendo estas páginas, páginas TOP. Por ejemplo, Slashdot.org es una de mas visitadas y mas confiables en el mundo, entendí que o había un tremendo ataque en progreso a la red o la PC había sido infectada. Me resultaba díficil de creer una infeccción ya que nuestras PC están protegidas por Firewalls y versiones oficiales y registradas de Panda Titan 2005. El Panda Software no nos habia fallado anteriormente.

Un factor común en estas páginas era que las mismas tenian (o tienen anuncios de Google ad sense). El Malware sustituia en los lugares de los anuncios de Google terminos como RENEW DOMAIN, EXPLAIN DOMAIN. En el caso de slashdot.org colocaba un aviso enorme indicando que el Dominio había expirado.

Procedí a tomar estos screen captures para documentar lo que estaba pasando. En ese momento hice un FULL SCAN en dos ocaciones a la PC. detectando el Panda Software Anti Virus infecciones en tres archivos de sistema. La PC afectada tiene Windows XP SP2. También noté que el Panda Software no podia ejecutar su función de actualización de firmas, no lograba la conexión al puerto 41. En estos momentos, estoy claro que el Malware es inteligente y que no será fácil....

Desconecté la PC de Internet y nuevamente realice otro full scan detectando otra vez las tres infecciones. Luego de este fullscan la PC funcionó correctamente al accesar las paginasde Internet. Conversando con un compañero de IT de la Universidad este me recomendo AVAST Anti Virus y el Microsft Anti Spyware. Aunque entendía que la PC había sido restaurada procedí a seguir el consejo y accese:

MICROSOFT WINDOWS ANTISPYWARE

Una vez alli hice un download e instalé el Beta que expira en julio del 2006 por lo cual ofrece 6 meses de protección contra SPYWARE:

DOWNLOAD

El screen anterior muestra la pantalla de ejecución en la cual este encontró un Telephone Spy Key Logger. A continuación incluyo otras dos screen captures:

Lo siguiente que hice luego de pensarlo, fue remover la versión de Panda Titan 2005 para instalar AVAST AV. NOTA: Esta fue mi determinación, no le estoy recomendando que haga esto!!! No es recomendable que tenga mas de un programa Anti Virus instalado ya que existe gran potencial de falsos positivos. Esto es que un programa al evaluar los ficheros puede indicar que el otro AV esta infectado.

AVAST

PROGRAMA ANTI VIRUS CON LICENCIA PARA USO PERSONAL / NO COMERCIAL.

AVAST incluye 7 modulos para vigilar actividad no autorizada en los siguientes servicios: Messaging, Webmail, P2P, OutLook, Network (Firewall), Standard Shield, Web Shield. Una vez instalado se accesa las funciones utilizando el botón de la derecha del ratón encima del icono con la a.

En esta pantalla se activan los filtros que se deseen para asegurar el sistema. Los filtros incluyen Mesajeria, P2P, Webmail, OutLook, Firewall y otros.

Este es el programa de Anti Virus en uno de los tres SKINS que incluye.

El resultado del primer scanning fue un Virus Detectado que no habia sido detectado por Panda Titan 2005:

Win32: Kuang2

Este virus ubicaba en un folder Temp que usa Internet Explorer. En un segundo scanning, AVAST lo volvió a encontrar esta vez en el restore de Windows. El restore es una función especial que permite restaurar en caso de un crash. No obstante este feature permite que un virus se esconda en el mismo y vuelva a tener acceso a la pc. Posterior a esto el virus no ha vuelto a aparecer. Me parece que fue Terminado por AVAST!

REGISTRY CLEANER

En adición a los programas que mencioné, un último paso recomendado es utilizar un programa que examine y repare (de ser necesario) el contenido del Windows Registry. En mi caso uso Registry Mechanic.

Esta pantalla presenta el Menu Principal de Registrry Mechanic.

Registry Mechanic en acción!. Este programa ayuda tambien a corregir deficiencias o errores en el Windows Registry como consecuencia de fallas en instalación / remoción de algún programa.

COMENTARIOS / RECOMENDACIONES:

Nos

1- No abra attachments! en emails.

A menos que sean documentos que usted espera recibir o que son originados de destinos creibles/seguras. A veces los programas de Webmail colocan un fichero llamado untitled, no lo habrá.

2- NO haga uso de CHAT a través de IRC. Utilice Chats que operan con JAVA Y/O FLASH

3- NO visite páginas de contenido cuestionable

Las mismas pueden incluir gusanos que se trasmiten a su PC en forma transparente. Esto puede suceder mas en páginas HTML.

4- NO instale programas ANTI SPYWARE si no conoce bien la empresa que lo mercadea. Algunos de estos programas son SPYWARE!

5- NO use el Internet si no tiene in FIREWALL instalado y configurado en su PC.

6- NO permita el uso de su PC a otras personas, a menos que usted este presente o que estas sean de su completa confianza.

Sis

Prof. Edfel José Rivera  Webmaster www.politicaboricua.com 7 de diciembre de 2005