Luis Villalta Márquez

Ataques y Contramedidas en

Sistemas Personales

HERRAMIENTAS PALATIVAS

2

a) Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. Para su instalación abrimos el terminal, entramos como "superusuario" (comando: sudo su) y ejecutamos los siguientes comandos: # apt-get install clamav

# aptitude install clamtk

3

Ahora procedemos a realizar un análisis de nuestro equipo:

Escanear modo texto: # clamscan –r –i <directorio>

Escanear modo gráfico: # clamtk

Ejecutamos el comando y se nos abre el modo grafico, para realizar el análisis pulsamos en "Analizar/Análisis recursivo"

Nos aparece una ventana con la carpeta Home, la seleccionamos y pulsamos "Aceptar" para que comience el análisis:

4

b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD que se puede iniciar desde un CD o flash USB. Documenta dicho proceso. Iniciamos el antivirus introduciendo el CD y reiniciando posteriormente el ordenador para que inicie con el CD; seleccionamos la primera opción para arrancar el programa del CD.

Aceptamos los términos y condiciones de uso.

5

Después nos aparecerán las opciones que permite el CD, entre las que se incluye escanear el equipo.

Entonces procederá a escanear el equipo, y al final nos dará como resultado: los ficheros escaneados, los ficheros infectados, malware encontrados, errores transcurridos, etc.

6

c) En tu ordenador, realiza un análisis antimalware a fondo (msconfig, procesos dudosos ejecutándose,…etc) mediante el software de Microsoft: suite Sysinternals. Indica en un documento todas las acciones que has realizado. Utiliza entre otros: Autoruns y Process Explorer

Para realizar un análisis del ordenador, lo primero que realizaremos sera observar los

procesos que están activos en el sistema desde el inicio, utilizando la orden ‘msconfig’.

Entonces se entra en servicios y se comprueban.

7

Después se va a iniciar el administrador de tareas para comprobar los procesos activos del sistema.

El siguiente paso es instalar Sysinternals suite, un conjunto de programas de Windows que analizan completamente el sistema. El primer programa que se va a utilizar es

autoruns, que se encarga de buscar y eliminar estos archivos en todo el sistema.

8

Tiene varias aplicaciones de búsqueda de archivos dll, exe o archivos procedentes de Internet. Uno de ellos se encarga de buscar Hijacks.

El siguiente programa mide el rendimiento del equipo, el programa es System Information.

9

El siguiente a utilizar es el Process Explorer, que busca los ficheros .exe que hay instalados en el equipo.

El último programa mide la actividad de la memoria RAM, se llama RanMap. Emplea la misma función que el administrador de tareas

10

Ahora vemos los procesos activos.

Y finalmente, los ficheros que utilizan los procesos activos.

11

d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando las herramientas gratuitas de Trend Micro USA. Documento dicho proceso. Utiliza las herramientas: HouseCall, Browser Guard 2011, HiJackThis y RUBotted

Las herramientas de Trend Micro están creadas para abarcar varios ámbitos de seguridad.

1. HouseCall

Esta herramienta es un antivirus online. Para configurarlo solo hay que iniciarlo y comenzar a analizar

Tras clicar en “Analizar ahora” comenzará a analizar el equipo.

12

2. Browser Guard

La herramienta BrouserGuard funciona cuando se activa sin mostrar ventanas o avisos. Es un plugin para Internet Explorer que protege ante ataques de código JavaScript en

Internet.

3. HijackThis Este programa realiza una búsqueda de spyware, malware o programas maliciosos.

13

4. RUBooted Es una herramienta activa utilizada para encontrar botnets que tengan infectado al

equipo. Se ejecuta automáticamente y guarda un fichero log cuando detecte algún botnet.

e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Piensa como prevenir este software e informa en un documento. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?

Keylogger es una herramienta que permite detectar las pulsaciones sobre el

teclado, y las guarda tras pulsar la tecla “Intro”.

Descargamos Revealer Keylogger de la página oficial y la instalamos.

14

Tras instalarlo, comprobamos su funcionamiento escribiendo en un fichero .txt y ejecutando algunos comandos en el terminal.

Usamos el antivirus malwarebytes para detectar el programa Keylogger, tras pasar un escaneo rápido lo detecta.

15

f) Investiga en Internet el término: Hijacker. Cómo puedes eliminar el “Browser hijacker”. ¿Qué efectos tiene sobre el sistema?

Hijacking hace referencia a toda técnica ilegal que lleve consigo el adueñarse o robar

algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos

encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, módems y un largo etcétera en cuanto a servicios informáticos se refiere.

Algunos ejemplos de Hijacking

IP hijakers: secuestro de una conexión TCP/IP por ejemplo durante una sesión Telnet permitiendo a un atacante inyectar comandos o realizar un DoS durante dicha sesión.

Page hijacking: secuestro de página web. Hace referencia a las modificaciones que un atacante realiza sobre una página web, normalmente haciendo uso de algún bug de seguridad del servidor o de programación del sitio web, también

es conocido como defacement o desfiguración.

Reverse domain hijacking o Domain hijacking: secuestro de dominio

Session hijacking: secuestro de sesión Browser hijacking: efecto de apropiación que realizan algunos spyware sobre el

navegador web lanzando popups, modificando la página de inicio, modificando la página de búsqueda predeterminada etc. Es utilizado por un tipo de software

malware el cual altera la configuración interna de los navegadores de internet de un ordenador.

Home Page Browser hijacking: secuestro de la página de inicio del navegador. Esto sucede cuando la página de inicio, en la que navegamos es cambiada por

otra a interés del secuestrador. Generalmente son páginas en las que nos invita a usar los servicios de la página para que nuestro equipo esté seguro y funcione

correctamente. No cabe decir que es a cambio de un pago y que el origen del error y mal funcionamiento del equipo es debido a nuestro secuestrador

Modem hijacking: secuestro del Modem. Esta expresión es en ocasiones utilizada para referirse a la estafa de los famosos dialers que tanta guerra dieron en su día (antes del auge del ADSL) y que configuran sin el consentimiento del usuario nuevas conexiones a números de cobro extraordinario.

Thread hijacking: secuestro de un "tema" dentro de un foro de discusión de internet. Este término hace referencia a la situación que ocurre cuando dentro de un tema de discusión en un foro alguien intenta dirigir el hilo de la conversación hacia asuntos que no tienen nada que ver con el tema inicial. Esto puede realizarse de manera intencionada para irritar al autor del tema o bien producirse de manera natural y no intencionada generalmente por usuarios sin mucho conocimiento en el asunto a tratar o que desconocen la dinámica de comportamiento de los foros.

16

g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo.

¿Cómo se propaga? ¿Qué efecto tiene? Este virus se propaga utilizando la función autorun.inf, lo cual hace que frecuentemente se lo encuentre en medios de almacenamiento portátil, [USB Pendrive, USB HDD´s, Micro SD, Celulares/Móviles, etc.] Cuando el virus es ejecutado (pues se lo activa al clikear sobre el icono del medio de almacenamiento, o la ventana que presenta el sistema operativo).

¿A qué tipo de sistemas operativos afecta? Principalmente Sistemas Windows, pero ahora puede incluso afectar a sistemas Linux.

¿Qué medidas de seguridad puede tomar? Se puede utilizar la desactivación del inicio automático o se puede crear un falso autorun.inf en el dispositivo.

¿Qué es la desactivación de la ejecución automática?¿Cómo se puede realizar? Sirve para que un dispositivo no se ejecute automáticamente, de tal forma que el virus no se ejecutará, ya que lo hace cuando se inicia el dispositivo.

¿Para qué sirve USB Vaccine? Panda USB Vaccine es una sencilla herramienta de Panda Security que tiene como objetivo evitar que nuestro ordenador se infecte por culpa de un CD/DVD o USB infectados.

En primer lugar, Panda USB Vaccine desactiva la opción de autoarranque de un disco óptico o de una memoria USB, opción que usan muchos virus para infectar

ordenadores.

Y en segundo lugar, Panda USB Vaccine "vacuna" tu llave USB para que ningún virus o malware se aproveche de la función de autoarranque para propagarse.

Pros • Fácil de usar y rápido

• No requiere instalación • No necesita configuración

Contras • No limpia memorias USB ya infectadas

¿Qué programa podemos utilizar para realizar la desinfección?

Podemos utilizar programas antivirus.