Seguridad informática - Malwares
En el capítulo anterior tratamos los antivirus que nos ayudaron a proteger nuestros sistemas pero en este capítulo trataremos los malwares, cómo detectarlos manualmente, cuáles son sus formas, cuáles son sus extensiones de archivo, señales de un equipo infectado, etc. Es importante ser tratado porque las tasas de infección de las empresas y las computadoras personales son demasiado altas en la actualidad.
Son programas de autorreplicación que reproducen sus propios códigos uniéndose a otros códigos ejecutables. Operan sin los permisos o el conocimiento de los usuarios de la computadora. Los virus o malwares, como en la vida real, contaminan en las computadoras otros archivos saludables.
Sin embargo, debemos recordar que los virus infectan máquinas externas solo con la ayuda de un usuario de la computadora. Esto puede suceder al hacer clic en un archivo que viene adjunto con el correo electrónico de una persona desconocida, conectar un USB sin escanear, abrir URL inseguras por ese motivo. Nosotros, como administradores de sistemas, tenemos que eliminar los permisos de administrador de los usuarios de estas computadoras. Clasificamos malwares en tres tipos:
- Troyanos y rootkits
- Viruses
- Worms
Características de un virus
A continuación se presentan algunas características de cualquier virus que infecte nuestras computadoras.
Residen en la memoria de una computadora y se activan mientras el programa adjunto comienza a ejecutarse.
For example - Se adhieren en general a la explorer.exe en el sistema operativo Windows porque es el proceso que se ejecuta todo el tiempo, por lo que debe tener cuidado cuando este proceso comience a consumir demasiada capacidad de su computadora.
Se modifican después de la fase de infección, como códigos fuente, extensiones, archivos nuevos, etc., por lo que es más difícil para un antivirus detectarlos.
Siempre intentan ocultarse en los sistemas operativos de las siguientes formas:
Se encripta en símbolos crípticos y se desencriptan a sí mismos cuando se replican o ejecutan.
For example - Puede ver esto en la siguiente imagen para una mejor comprensión, ya que en mi computadora encontré este archivo.
Después de encontrar este archivo, lo abrí con un editor de texto y pensé que el texto no era comprensible, como se muestra en la siguiente captura de pantalla.
Después de encontrar esto, lo probé en un decodificador base64 y descubrí que era un archivo de virus.
Este virus puede causar lo siguiente en su computadora:
Puede eliminar datos importantes de su computadora para ganar espacio para sus procesos.
Puede evitar la detección mediante la redirección de datos del disco.
Puede realizar tareas desencadenando un evento consigo mismo. Por ejemplo, esto sucede cuando en una computadora infectada, las tablas emergentes, etc., aparecen automáticamente en la pantalla.
Son comunes en Windows y Mac OS porque estos sistemas operativos no tienen permisos de archivos múltiples y están más dispersos.
Proceso de trabajo de Malwares y cómo limpiarlo
Los malware se adhieren a los programas y se transmiten a otros programas haciendo uso de algunos eventos, necesitan que estos eventos sucedan porque no pueden:
- Empezar por ellos mismos
- Transmitirse mediante el uso de archivos no ejecutables
- Infectar otras redes o computadoras
De las conclusiones anteriores, debemos saber que cuando algunos procesos o servicios inusuales se ejecutan por sí mismos, debemos investigar más a fondo sus relaciones con un posible virus. El proceso de investigación es el siguiente:
Para investigar estos procesos, comience con el uso de las siguientes herramientas:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
los Listdll.exe muestra todos los dll files siendo utilizado, mientras que el netstat.exe con sus variables muestra todos los procesos que se están ejecutando con sus respectivos puertos.
Puede ver el siguiente ejemplo sobre cómo mapeé el proceso del antivirus Kaspersky que usé junto con el comando netstat-ano para ver los números de proceso y el administrador de tareas para ver a qué proceso pertenece este número.
Entonces deberíamos buscar cualquier modified, replaced or deleted files y el shared librariestambién debe comprobarse. Por lo general, infectan archivos de programas ejecutables con extensiones como.EXE, .DRV, .SYS, .COM, .BIN. Malwares cambia la extensión de archivos originales, por ejemplo: File.TXT a File.TXT.VBS.
Si es administrador del sistema de un servidor web, debe tener en cuenta otra forma de malware que se denomina como webshell. Por lo general, tiene una extensión .php pero con nombres de archivo extraños y en forma cifrada. Debe eliminarlos en caso de que los detecte.
Una vez hecho esto, debemos actualizar el programa antivirus y volver a escanear la computadora.
Detectar un error de computadora debido a una infección de virus
En esta sección, trataremos cómo detectar una falla en la computadora o el sistema operativo debido a un virus porque a veces las personas y los administradores del sistema mezclan los síntomas.
Lo más probable es que los siguientes eventos no sean causados por un malware:
- Error mientras el sistema se inicia en la etapa de BIOS, como la pantalla de la celda de la batería de Bios, la pantalla de error del temporizador
- Errores de hardware, como pitidos, quemadura de RAM, HDD, etc.
- Si un documento no se inicia normalmente como un archivo dañado, pero los otros archivos se pueden abrir en consecuencia.
- El teclado o el mouse no responden a sus comandos, debe verificar los complementos.
- El monitor se enciende y apaga con demasiada frecuencia, como parpadear o vibrar, esto es una falla de hardware.
Por otro lado, si tiene los siguientes signos en su sistema, debe buscar malware.
Su computadora muestra una ventana emergente o tablas de error.
Se congela con frecuencia.
Se ralentiza cuando se inicia un programa o proceso.
Los terceros se quejan de que están recibiendo una invitación en las redes sociales o por correo electrónico de su parte.
Aparecen cambios en las extensiones de archivos o se agregan archivos a su sistema sin su consentimiento.
Internet Explorer se bloquea con demasiada frecuencia a pesar de que la velocidad de Internet es muy buena.
Se accede a su disco duro la mayor parte del tiempo, como puede ver en la luz LED de la carcasa de su computadora.
Los archivos del sistema operativo están dañados o faltan.
Si su computadora está consumiendo demasiado ancho de banda o recursos de red, este es el caso de un gusano informático.
El espacio del disco duro está ocupado todo el tiempo, incluso cuando no está realizando ninguna acción, por ejemplo, instalando un nuevo programa.
El tamaño de los archivos y programas cambia en comparación con su versión original.
Some Practical Recommendations to Avoid Viruses -
- No abra ningún archivo adjunto de correo electrónico que provenga de personas desconocidas o de personas conocidas que contengan texto sospechoso.
- No acepte invitaciones de personas desconocidas en las redes sociales.
- No abra la URL enviada por personas desconocidas o personas conocidas que estén en alguna forma extraña.
Información de virus
Si ha encontrado un virus pero desea investigar más a fondo su función. Le recomendaría que eche un vistazo a estas bases de datos de virus, que generalmente ofrecen los proveedores de antivirus.
Kaspersky Virus Database - (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)
F-Secure - (https://www.f-secure.com/en/web/labs_global/threat-descriptions)
Symantec – Virus Encyclopedia - (https://www.symantec.com/security_response/landing/azlisting.jsp)