Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Javier Fresneda

PROCECIMIENTO ANTE UNA INFECCIÓN DE MALWARE

Anuncio 
PROCEDIMIENTO ANTE UNA INFECCIÓN DE MALWARE
Cuando se detecta que un equipo es sospechoso de contener una infección malware, se procederá
a su análisis y posterior desinfección siguiendo los pasos a continuación descritos:
1. Desconectar el equipo de la Red
Esto impedirá que el malware que infectó el equipo se pueda propagar por la red e infectar a
más usuarios y que se conecte a algún servidor C&C para enviar información o se descargue
nuevo malware.
2. Salvar los datos
Independientemente de la infección, lo primero que se debe hacer es una copia de seguridad
de los datos. Dichos datos pueden ser documentos, fotos, vídeos o cualquier tipo de
información profesional que no se pueda perder aunque estén infectados, para intentar
recuperarlos en un sistema ya desinfectado.
Los archivos más peliagudos son los infectados por Ransomware, pero incluso éstos se deben
guardar para intentar salvarlos posteriormente.
Todos los archivos que se quieran guardar en la copia de seguridad, ya sean sospechosos de
infección o se sepa que están limpios, únicamente se copiaran, en ningún momento se
ejecutarán.
a. En Modo Seguro
Uno de los rasgos más comunes del malware en general, es el hecho de que se inician
junto al sistema operativo. Con el fin de limitar el daño que pueda causar y poder guardar
los datos/archivos que interesan, se arrancará el sistema en Modo Seguro. Una vez
iniciado el sistema, se copiarán los datos en un medio externo como un USB, disco duro
externo, etc.
Si no se ha podido iniciar en modo seguro y se deberá iniciar a equipo a través de un Live
CD.
b. A través de un Live CD
Un Live CD es un sistema operativo utilizado por un medio extraíble como un DVD o USB.
Una de sus ventajas es que es autoarrancable e independiente del sistema operativo base
y no instala nada en él. Esto permite aislar la mayoría de tipos de malware y acceder al
equipo para realizar copias de seguridad de los archivos que se quieran recuperar.
Se recomienda utilizar Ubuntu para ello.
3. Proceso de Desinfección
Antes de empezar con el proceso de desinfección, se deberán descargar un conjunto de
herramientas que estarán en el siguiente enlace del almacén, enlace. También se deberá solicitar
acceso a internet, para poder actualizar las firmas de las herramientas, a Seguridad de Red.
a. En Modo Seguro con funciones de red
Antes de empezar el proceso de análisis con el Live CD, es conveniente comenzar a realizar
un análisis con las herramientas corporativas y los ejecutables que se guardado del enlace
del almacén.
Primero de todo, se instalarán las herramientas (en esta ocasión Ccleaner y
Malwarebytes) y se actualizarán sus firmas. Para ello se solicitará acceso de navegación a
Seguridad de Red para que dicho proceso se ejecute con normalidad. Una vez terminada la
actualización se procederá a llamar a Seguridad de Red para volver a quitar la navegación
del equipo.
Teniendo todo preparado para el comienzo del análisis, se procederá a ejecutar el
programa Malwarebytes seleccionando todas las unidades que se quieran analizar.
Al terminar se mostrará el resultado de lo que ha detectado y dará la opción de eliminarlo.
Una vez eliminado, se procederá al reinicio del sistema operativo volviendo a inicializarlo
en Modo Seguro con funciones de Red.
Ahora es el turno de Ccleaner. Este programa ayudará a limpiar y eliminar los archivos
temporales del sistema, ya que existe malware que se ubica en dicho directorio.
Habiendo realizado un análisis y limpieza previa con Malwarebytes y Ccleaner, se
procederá a realizar un análisis con el antivirus corporativo, en este caso Mcaffe. El
resultado obtenido después de analizar el equipo con el antivirus, se enviará a Seguridad
de Red para que se estudie el informe.
Cuando Seguridad de Red vea y valore los resultados, decidirá si se sigue con el proceso de
análisis con el Live CD o que ya no será necesario seguir con ello debido a que se considera
que el equipo está fuera de peligro.
Una vez terminado el análisis con las herramientas externas, éstas se desinstalarán del
sistema operativo.
b. A través de Live CD
Una vez tenemos preparado el Live CD (Avira Rescue System) y habiendo modificado la
BIOS del equipo para que arranque desde el CD o USB (según dónde se haya preparado el
Live CD), se iniciará dicho sistema para efectuar en análisis y desinfección del equipo.
Tras el inicio del Avira Rescue System, aparecerá un asistente que guiará de forma sencilla
todo el proceso de análisis, el cual, nada más comenzar, procederá a actualizar las firmas
de virus. Para ello, se llamará a Seguridad de Red para solicitar acceso directo a internet,
para que las firmas de virus se actualicen a la última versión. Una vez estén actualizadas,
se volverá a llamar a Seguridad de Red para que corten en acceso a internet.
Asistente
Seleccionando partición a analizar
El proceso de reparación se realiza junto al análisis, por lo que no se debe iniciar este
proceso por separado. En dicho proceso, todos los archivos sospechosos detectados
cambiarán su extensión automáticamente a .rend, para que no puedan generar daño
alguno al equipo. El mismo asistente tiene un terminal en donde se podrá proceder a
revertir el proceso de cambio de extensión de los archivos sospechosos.
Proceso de análisis y reparación
Una vez termina el proceso de análisis y reparación se mostrará una pantalla indicando si
el sistema ha logrado reparar y limpiar el equipo afectado y se podrá generar un informe
con los resultados. Dicho informe se enviará a Seguridad de Red para que lo analicen y
vean los resultados obtenidos.
Finalización del análisis
4. Remaquetar
Si después de que se hayan seguido los pasos de desinfección del malware del equipo, finalmente
no se ha podido desinfectar, sólo queda la reinstalación del sistema operativo volviendo a
remaquetar el equipo después formatearlo para así asegurar que la instalación se realiza desde
cero y sin infección.
Detectar posibles intrusiones de red en el equipo
El objetivo de las aplicaciones malware, es comprometer la seguridad de cualquier equipo y puede
ser de diferentes maneras, como por ejemplo:


Robando las pulsaciones del teclado para detectar usuarios/contraseñas y establecer una
conexión contra un servidor externo (Spyware).
Permitir o facilitar el acceso a un usuario no autorizado en el equipo (Troyano).
En ocasiones este tipo de malware viene embebido en archivos que se descargan en la red, como
documentos, programas gratuitos, etc., y al estar inertes y comprimidos, los antivirus pueden
llegar a no detectarlos, pero en todos los casos se puede conocer de su actividad en el momento
que establecen conexión con un sitio remoto.
Para conocer las conexiones establecidas del equipo se debe hacer lo siguiente:


Abrir una ventana de símbolo de sistema.
Introducir el comando netstat –n 10 (el 10 indica el intervalo en segundos en las que
mostrará la información de las conexiones del equipo).
Lo que se muestra en la ventana de símbolo de sistema es una tabla de 4 columnas con la
siguiente información:



Proto: Nos indica el protocolo utilizado para la comunicación por cada una de las
conexiones activas.
Dirección local: Nos indica la IP origen de la conexión y el puerto utilizado.
Dirección remota: Nos indica la dirección IP y el puerto destino.

Estado: Nos indica el estado de la conexión en el momento.
Los estados más frecuentes son:






Listening: El puerto está escuchando a la espera de una conexión (Si tenemos el equipo
fuera de la red, todas la conexiones remotas estarán así, siendo un posible filtrado para
detectar algo anómalo).
Established: Conexión establecida.
Close_wait: La conexión sigue abierta, pero el otro extremo indica que no va a enviar nada
más.
Time_wait: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión por si
queda algo pendiente de recibir.
Last_ACK: La conexión se está cerrando.
Closed: La conexión ha sido cerrada definitivamente.
Para detectar si hay alguna aplicación sospechosa está realizando conexiones con el exterior,
escribiendo el comando netstat –b, se identificarán y mostrarán los datos de la aplicación que está
generando dichas conexiones.
Dado que este tipo de conexiones son aleatorias y breves, es conveniente lanzar el comando cada
cierto tiempo para identificar las conexiones sospechosas. Para no estar lanzando el comando
continuamente, se procederá a realizar la comprobación de conexiones de forma automática y
escribiendo el resultado en un archivo .txt (En caso de duda, se podrá enviar a Seguridad de Red
dicho archivo para que lo analicen). El comando a utilizar será el siguiente:

netstat –b 10 >> directorio_donde_guardar\Conexiones_establecidad.txt
De esta forma el comando lanzado comprobará cada 10 segundos las conexiones al exterior y las
escribirá en el archivo .txt.
A través de los puertos de comunicaciones del sistema se establecen las conexiones y funciona la
navegación, pero también puede introducirse el malware y hace que se comunique con su servidor
propietario.
Para poder conocer los puertos abiertos del equipo y que están a la escucha se escribirá el
comando netstat –an |find /i “listening” en una ventana de símbolo de sistema. El resultado
mostrará todos los puertos abiertos que tiene el equipo a la escucha.
Hay que tener en cuenta que un puerto abierto no implica riesgo, el riesgo está sólo si la aplicación
que utiliza el puerto contiene código dañino. Otro concepto que hay que tener claro es que el
sistema operativo no abre ningún puerto, sino que es una aplicación o servicio específico. Por lo
tanto, para cerrar el puerto basta con cerrar la aplicación o el servicio que lo mantiene.
Los puertos susceptibles a tener riesgo, normalmente son los siguientes:


Puerto 135: Este puerto lo comparten el DCOM, programador de tareas y el MSDTC. Si hay
algún servicio/aplicación más escuchando en este puerto, puede ser sospechoso. En caso
de tener que cerrarlo se deberá cerrar el servicio que lo proporciona o modificando la
clave de registro que se encuentra en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole y
dentro del parámetro EnableDCOM, se modificará de Y a N
Puertos 137, 138, 139 y 445: El equipo con NetBios habilitado, escucha en los puertos
UDP 137 y 138, y en los puertos TCP 139 y 445. Si en NetBios estuviera deshabilitado sólo
escucharía a través del puerto 445. Si hay algún servicio/aplicación más escuchando en
este puerto, puede ser sospechoso.
En caso de tener que desactivar NetBios completamente, se modificará la clave de registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters y
renombrar el parámetro TransportBindName a TransportBindNameBAK.
En caso necesario de tener que ver en más profundidad y/o con un mejor entorno, las conexiones
establecidas, quién las produce, puertos abiertos, etc., existe una herramienta portable (no siendo
necesaria su instalación y así no afectando al sistema) llamada Current Ports que muestra
información detallada de:





El nombre del proceso.
Dirección IP remota.
La ruta de la aplicación que lo crea.
Cuándo fue creado.
Etc.
Con toda esta información será más factible identificar si hay alguna aplicación y/o servicio
realizando conexiones anómalas.
Otro punto a tener en cuenta para detectar una posible intrusión en el equipo, es el archivo hosts
que está ubicado en C:\Windows\System32\drivers\etc\hosts.
La función de dicho archivo es la de listar nombres de dominio con sus respectivas direcciones IP y
aunque el equipo siempre consulte al servidor DNS para resolver una IP, siempre busca primero en
el archivo hosts. Por defecto, la única línea que contiene el archivo es la de localhost cuya IP es la
127.0.0.1.
Por todo esto, se debe revisar el archivo, ya que existe malware que, entre sus funciones, escribe
dentro de del archivo hosts las URL o direcciones de actualizaciones de los principales programas
antivirus para evitar que éstos se actualicen redirigiendo dichas conexiones a localhost.
Así que si se encuentran líneas en dicho archivo que no deberían estar allí, hay que proceder a
eliminarlas.
Detectar posibles procesos sospechosos
Una de las formas de detectar cualquier infección es un equipo es revisando los procesos que se
están ejecutando en el mismo.
Los procesos, son las tareas que se están ejecutando en el sistema, ya sean del propio sistema
operativo o de programas o aplicaciones externas. Cualquier programa, aplicación o software
tiene un proceso asignado que es quien los inicia y para poder ver y conocer los procesos que se
están ejecutando, obtener información sobre ellos, detenerlos o cambiar la forma en la que se
ejecutan, Windows incluye la pestaña Procesos dentro de la herramienta Administrador de
tareas.
El Administrador de tareas pude utilizarse para los siguientes propósitos:





Detener un programa que no responde.
Detener una aplicación que consume muchos recursos ya sea en memoria o en la CPU.
Detener aplicaciones instaladas de forma secundaria por las aplicaciones.
Detener procesos que consumen mucho ancho de banda y ralentizan la navegación, como
son los que utilizan aplicaciones para actualizarse.
Detectar malware en el equipo.
La mayoría de los procesos se pueden identificar de forma sencilla ya que corresponden con el
nombre del programa/aplicación, como por ejemplo:




chrome.exe.
firefox.exe.
winword.exe.
etc.
Otros en cambio son más difíciles de identificar por nombre, aunque les suele acompañar una
descripción, como por ejemplo:

MsMpEng.exe: Cuya descripción indica que es “Antimalware Service Executable (Windows
Defender).
Para obtener más información sobre los procesos, se puede clicar con el botón derecho del ratón
sobre el mismo y se puede saber la ubicación del ejecutable, pero sigue habiendo casos suele ser
difícil identificarlos correctamente.
A continuación se muestran los procesos propios del sistema operativo Windows:

explorer.exe: Explorador de Windows.


















csrss.exe: Cliente de la interfaz de Windows. La ubicación del ejecutable tiene que estar
en c:\windows\system32. Cuando un malware utiliza dicho ejecutable, normalmente lo
ubican en c:\windows.
svchost.exe: Contenedor de servicios de Windows, generalmente hay varios procesos con
el mismo nombre.
MsMpEng.exe: Antimalware Service Executable (Windows Defender).
TaskHost.exe: Es un proceso que ejecuta varias tareas en segundo plano, que son
solicitadas por librerías DLL de aplicaciones/programas o de Windows.
dwm.exe: Administrador de ventanas del escritorio.
audiodg.exe: Aislamiento de gráficos de dispositivo de audio de Windows.
conhost.exe: Host de ventana de consola.
lsass.exe: Local Security Authority Process.
lsm.exe: Servicio de administrador de sesión local.
SearchIndexer.exe: Indizador de Microsoft Windows Search.
services.exe: Aplicación de servicios y controlador.
smss.exe: Administrador de sesión de Windows.
spoolsv.exe: Aplicación de subsistema de cola.
taskhost.exe: Proceso de host para tareas de Windows.
taskmgr.exe: Administrador de tareas.
System: NT Kernel & System.
wininit.exe: Aplicación de inicio de Windows.
winlogon.exe: Aplicación de inicio de sesión de Windows.
La mayoría del malware se enmascaran tomando los nombres de los procesos comunes de
Windows, mayormente el de Svchost.exe. Los antivirus, para detectar dichos procesos anómalos y
susceptibles a malware, suelen verificar la versión del ejecutable.
Uno de los procesos más controvertidos de Windows es el wscript.exe (Windows Script Host), que
es la consola del sistema operativo para ejecutar los archivos programados en lenguaje VBscript. El
malware basado en este lenguaje de programación, utiliza dicho proceso para ejecutarse y así
pasar desapercibido, como por ejemplo el malware Recycler o Mugen.vbs.
El proceso wscript.exe siempre indica que hay un script que se está ejecutando en el sistema, por
lo que si no ha sido iniciado voluntariamente, indica que puede ser un posible malware. Hay que
tener en cuenta que muchas tareas y aplicaciones legítimas, pueden utilizar dicho proceso.
Debido a lo tedioso que puede llegar a ser el análisis de los procesos, existen herramientas
gratuitas como System Explorer o Process Explorer, que ofrecen una forma más avanzada de
análisis y con más información que el administrador de tareas, ya que muestra de cada proceso los
hilos que lo componen e identifica los que considera sospechosos. Además de todo esto, el
programa System Explorer agrega la función de poder comprobar el proceso sospechoso a través
de Virus Total.
System Explorer
Process Explorer
A parte de las herramientas anteriormente mencionadas, existe un servicio online (file.net) en el
que se puede realizar una consulta sobre los procesos sospechosos.
Después de comprobar que un proceso es sospechoso de ser dañino para el equipo, para eliminar
el archivo que lo inicia, es necesario detenerlo. En el caso de que aparezcan problemas al detener
el proceso, se deberá iniciar el equipo en Modo Seguro para poder detenerlo.
Documentos relacionados
Los siguientes son los pasos para habilitar FRAMEWORK en W 8.0
Los siguientes son los pasos para habilitar FRAMEWORK en W 8.0
ArandaBrandon - MiProyecto
ArandaBrandon - MiProyecto
Borrar lista de conexiones de Escritorio Remoto de Windows (RDP)
Borrar lista de conexiones de Escritorio Remoto de Windows (RDP)
Una Política Pública de “abajo hacia arriba”
Una Política Pública de “abajo hacia arriba”
Algo más sobre el software: REPASO EXTENSIONES DE LOS
Algo más sobre el software: REPASO EXTENSIONES DE LOS
10 consejos para evitar el malware y los virus informáticos
10 consejos para evitar el malware y los virus informáticos
Windows 7 64 Bits y Controladores ODBC.
Windows 7 64 Bits y Controladores ODBC.
01 Tipos de Seguridad
01 Tipos de Seguridad
cmd
cmd
Nota relacionada con Windows Vista y Windows 7
Nota relacionada con Windows Vista y Windows 7
Descargar
Anuncio
Anuncio