Eliminación de malware - Guía rápida

En los últimos años, hemos oído hablar de muchas personas y grandes corporaciones que han perdido sus valiosos datos o se encuentran en una situación en la que sus sistemas son pirateados. Estas actividades no deseadas se producen, en la mayoría de los casos, mediante el uso de un software insertado en un sistema de red, servidor o computadora personal. Esta pieza de software se conoce comomalware.

Un malware puede dañar un sistema o una red directamente, o alterarlos para que otros los utilicen, en lugar de lo que pretenden sus propietarios. Es una combinación de dos palabras:Mal sentido Bad y Ware sentido Software.

Según www.av-test.org , las estadísticas están creciendo enormemente. Consulte el siguiente gráfico para comprender el crecimiento del malware.

Como puede ver, se detectaron más de 600.000.000 de malware solo en 2016. Residencia ensecurelist.com, los países que han infectado computadoras en comparación con los más limpios son:

Riesgo máximo (más del 60%) 22 países incluidos
Kirguistán (60,77%) Afganistán (60,54%).
Alto riesgo (41-60%): 98 países, incluidos
India (59,7%) Egipto (57,3%) Bielorrusia (56,7%)
Turquía (56,2%) Brasil (53,9%) China (53,4%)
EAU (52,7%) Serbia (50,1%) Bulgaria (47,7%)
Argentina (47,4%) Israel (47,3%) Letonia (45,9%)
España (44,6%) Polonia (44,3%) Alemania (44%)
Grecia (42,8%) Francia (42,6%) Corea (41,7%),
Austria (41,7%)
Tasa de infección local moderada (21-40,99%): 45 países incluidos
Rumania (40%) Italia (39,3%) Canadá (39,2%)
Australia (38,5%) Hungría (38,2%) Suiza (37,2%)
Estados Unidos (36,7%) Reino Unido (34,7%) Irlanda (32,7%)
Holanda (32,1%), República Checa (31,5%) Singapur (31,4%)
Noruega (30,5%) Finlandia (27,4%) Suecia (27,4%),
Dinamarca (25,8%), Japón (25,6%).

Los piratas informáticos pueden diseñar malware para diferentes propósitos, como destruir datos, enviar los datos automáticamente a algún otro lugar, alterar los datos o seguir monitoreándolos hasta el período de tiempo especificado. Desactive las medidas de seguridad, dañe el sistema de información o afecte de otra manera la integridad de los datos y del sistema.

También vienen en diferentes tipos y formas, que discutiremos en detalle en los próximos capítulos de este tutorial.

Para comprender cómo funciona el malware, primero deberíamos ver la anatomía de un ataque de malware, que se divide en cinco pasos como se muestra a continuación:

  • Punto de entrada
  • Distribution
  • Exploit
  • Infection
  • Execution

Entendamos en detalle los puntos mencionados anteriormente.

Punto de entrada

Un malware puede ingresar al sistema de muchas maneras:

  • El usuario visita su sitio web favorito que ha sido infectado recientemente. Este puede ser un punto de entrada para un malware.

  • Si un usuario hace clic en una URL que viene en un correo electrónico, secuestrará ese navegador.

  • El malware también puede ingresar a través de cualquier medio externo infectado, como un USB o un disco duro externo.

Distribución

El malware inicia un proceso que redirige el tráfico a un servidor exploit que verifica el sistema operativo y las aplicaciones como el navegador, Java, Flash player, etc.

Explotar

En esta fase, el exploit intentará ejecutar según el sistema operativo y encontrará una manera de escalar el privilegio.

Infección

Ahora, el exploit que se instaló con éxito cargará una carga útil para mantener el acceso y administrar a la víctima, como acceso remoto, carga / descarga de archivos, etc.

Ejecución

En esta fase, el hacker que administra el Malware comenzará a robar sus datos, cifrar sus archivos, etc.

Los malware son diversos; provienen de diferentes funciones y se comportan de manera diferente en diversas situaciones. Algunos de los tipos de malware más infames y peligrosos se detallan a continuación:

  • Virus
  • Adware
  • Spyware
  • Trojan
  • Rootkits
  • Botnets
  • Secuestro de datos

Entendamos cada uno de estos en detalle.

Virus

Virus es un programa de malware que actúa de forma interesante. Este programa se ejecuta o se replica a sí mismo colocando algunas copias de sí mismo en otros programas informáticos, sector de arranque, archivos de datos, disco duro, etc. Cuando finaliza el proceso de replicación, se dice que las áreas afectadas son las infectadas. .

Los virus están diseñados para realizar algunas de las actividades más dañinas en los hosts cuando están infectados. Pueden robar el tiempo de la CPU o incluso el espacio en el disco duro. También pueden corromper los datos y poner algunos mensajes divertidos en la pantalla del sistema.

Adware

Este software es principalmente el software de soporte publicitario. Un paquete que viene automáticamente con los anuncios en su interior. Por lo tanto, puede generar buenos ingresos para el propietario.

Software espía

El software espía es un software que se utiliza principalmente para la recopilación de información sobre alguna organización o persona. Esa información se recopila sin que nadie sepa que la información proviene de su sistema.

Troyano

El troyano es un tipo de malware que no se replica automáticamente. Contiene algún código malicioso, que realiza algunas acciones determinadas por la naturaleza de ese troyano específico. Esto sucede solo después de la ejecución. El resultado de la acción es normalmente la pérdida de datos y también puede dañar el sistema de muchas formas.

Rootkits

Los rootkits son el tipo de malware sigiloso. Están diseñados de alguna manera especial que realmente pueden esconderse muy bien y es bastante difícil detectarlos en un sistema. Los métodos normales de detección no funcionan con ellos.

Botnets

Botnet es un software instalado en una computadora que está conectada a través de Internet y puede ayudar a uno a comunicarse con el otro mismo tipo de programas, de modo que se puedan realizar algunas acciones. Pueden ser lo mismo que mantener el control de algunos IRC, que son gráficos relacionados con Internet. Además, se puede utilizar para enviar algunos correos electrónicos no deseados o para participar en alguna distribución de ataques de denegación de servicios.

Secuestro de datos

Ransom ware es un software que cifra los archivos que se encuentran en los discos duros. Algunos de ellos pueden incluso terminar simplemente mostrando algún mensaje sobre el pago de dinero a la persona que ha implementado este programa.

Generalmente, si una computadora está infectada, hay algunos síntomas, que incluso los usuarios más simples pueden notar.

Técnicas comunes de detección de malware

Algunas de las técnicas de detección de malware más utilizadas se enumeran a continuación.

  • Su computadora muestra una ventana emergente y un mensaje de error.

  • Su computadora se congela con frecuencia y no puede trabajar en ella.

  • La computadora se ralentiza cuando se inicia un programa o proceso. Esto se puede notar en el administrador de tareas que el proceso del software ha comenzado, pero aún no se ha abierto para trabajar.

  • Los terceros se quejan de que están recibiendo una invitación en las redes sociales o mediante correos electrónicos suyos.

  • Aparecen cambios en las extensiones de archivo o se agregan archivos a su sistema sin su consentimiento.

  • Internet Explorer se congela con demasiada frecuencia a pesar de que la velocidad de Internet es muy buena.

  • Se accede a su disco duro la mayor parte del tiempo, lo que puede ver en la luz LED parpadeante de su computadora.

  • Los archivos del sistema operativo están dañados o faltan.

  • Si su computadora consume demasiado ancho de banda o recursos de red, es el caso de un gusano informático.

  • El espacio del disco duro está ocupado todo el tiempo, incluso si no está realizando ninguna acción. Por ejemplo, la instalación de un programa Mew.

  • Los tamaños de archivos y programas cambian en comparación con su versión original.

Errores no relacionados con el malware

Los siguientes errores son not related to Malware Actividades -

  • Error mientras el sistema se está iniciando en la etapa de Bios, como la pantalla de la celda de la batería de Bios, la pantalla de error del temporizador.

  • Errores de hardware como pitidos, quemadura de RAM, HDD, etc.

  • Si un documento no se inicia normalmente como un archivo dañado, pero los otros archivos se pueden abrir en consecuencia.

  • El teclado o el mouse no responde a sus comandos; tienes que comprobar los complementos.

  • El monitor se enciende y apaga con demasiada frecuencia, como parpadear o vibrar, esto es una falla de hardware.

En el próximo capítulo, entenderemos cómo prepararnos para la eliminación de malware.

Los malware se adhieren a los programas y se transmiten a otros programas haciendo uso de algunos eventos. Necesitan que estos eventos sucedan porque no pueden comenzar por sí mismos, transmitirse mediante el uso de archivos no ejecutables e infectar otras redes o una computadora.

Para prepararnos para la fase de eliminación, primero debemos comprender cuáles son todos los procesos informáticos que utiliza el malware para eliminarlos. ¿Qué puertos de tráfico están utilizando para bloquearlos? ¿Cuáles son los archivos relacionados con estos malwares, para que podamos tener la oportunidad de repararlos o eliminarlos? Todo esto incluye un montón de herramientas que nos ayudarán a recopilar esta información.

Proceso de investigación

De las conclusiones mencionadas anteriormente, debemos saber que cuando algunos procesos o servicios inusuales se ejecutan por sí mismos, debemos investigar más a fondo su relación con un posible virus. El proceso de investigación es el siguiente:

Para investigar los procesos, debemos comenzar utilizando las siguientes herramientas:

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

los Listdll.exe muestra todos los dll filesque se están utilizando. losnetstat.execon sus variables muestra todos los procesos que se ejecutan con sus respectivos puertos. El siguiente ejemplo muestra cómo un proceso deKaspersky Antivirusse asigna a un comando netstat-ano para ver los números de proceso. Para comprobar a qué número de proceso pertenece, usaremos el administrador de tareas.

Para Listdll.exe, lo hemos descargado del siguiente enlace: https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx y podemos ejecutarlo para comprobar qué procesos están conectados con la DLL que se está utilizando.

Abrimos CMD y vamos a la ruta de Listdll.exe como se muestra en la siguiente captura de pantalla, luego lo ejecutamos.

Obtendremos el resultado como se muestra en la siguiente captura de pantalla.

Por ejemplo, el PID 16320 está siendo utilizado por dllhost.exe, que tiene una descripción COM Surrogateya la izquierda. Ha mostrado toda la DLL mostrada por este proceso, que podemos buscar en Google y verificar.

Ahora usaremos el Fport, que se puede descargar desde el siguiente enlace - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# para mapear los servicios y PID con los puertos.

Otra herramienta para monitorear los servicios y ver cuántos recursos están consumiendo se llama "Process Explorer", que se puede descargar desde el siguiente enlace: https://download.sysinternals.com/files/ProcessExplorer.zip y después de descargarlo, debe ejecutar el archivo exe y verá el siguiente resultado:

En este capítulo, entenderemos cómo pasar por el proceso de limpieza de una computadora que ha sido infectada por cualquier tipo de malware. Sigamos los pasos que se indican a continuación.

Step 1- Para empezar, necesitamos desconectar la computadora de la red, que puede ser una conexión por cable o una conexión inalámbrica. Esto se hace para que el proceso de piratería pierda la conexión con el pirata informático, por lo que no se pueden seguir filtrando más datos.

Step 2 - Inicie la computadora en Safe Mode, solo se cargan los programas y servicios mínimos requeridos. Si algún malware está configurado para cargarse automáticamente cuando se inicia Windows, ingresar en este modo puede evitar que lo haga. Esto es importante porque permite que los archivos se eliminen más fácilmente, ya que en realidad no se están ejecutando ni están activos.

Iniciar una computadora en modo seguro

Iniciar una computadora en modo seguro puede variar de Windows 7 a Windows 10. Para el sistema operativo Windows 10, los pasos son los siguientes:

Step 1 - Presione el Windows logo key + Ien su teclado para abrir Configuración. Si eso no funciona, seleccione el botón Inicio en la esquina inferior izquierda de su pantalla y luego seleccione Configuración. Seleccione Actualización y seguridad → Recuperación.

Step 2 - En la sección Inicio avanzado, seleccione Reiniciar ahora.

Step 3 - Después de que su PC se reinicie en la pantalla Elegir una opción, seleccione Solucionar problemas → Opciones avanzadas → Configuración de inicio → Reiniciar.

Step 4- Después de que su PC se reinicie, verá una lista de opciones. Seleccione 4 o F4 para iniciar su PC en modo seguro. Si necesita utilizar Internet, seleccione 5 o F5 para Modo seguro con funciones de red.

Eliminar archivos temporales

Elimina tus archivos temporales. Hacer esto acelerará el escaneo de virus, liberará espacio en disco e incluso eliminará algunos malware. Usar elDisk Cleanup Utility, incluido con Windows 10, simplemente escriba Disk Cleanup en la barra de búsqueda o después de presionar el botón Inicio y seleccione la herramienta que aparece - Liberador de espacio en disco.

Detenga el proceso de malware que pueda estar relacionado con él

Intentaremos terminar todos los procesos maliciosos asociados. Para hacer esto, usaremos Rkill, que se puede descargar fácilmente desde el siguiente enlace: www.bleepingcomputer.com/download/rkill/

Descargue Malware Scanner e inicie un escaneo

Si ya tiene un programa antivirus activo en su computadora, debe usar un escáner diferente para esta verificación de malware, ya que es posible que su software antivirus actual no haya detectado el malware. La mayor parte del software antivirus más conocido se muestra en la siguiente captura de pantalla.

Debemos entender que los virus infectan máquinas externas solo con la ayuda de un usuario de computadora, lo que puede ser como hacer clic en un archivo que viene adjunto con un correo electrónico de una persona desconocida, conectar un USB sin escanear, abrir URL inseguras, etc. Por tales razones , nosotros, como administradores del sistema, tenemos que eliminar los permisos de administrador de los usuarios en sus computadoras.

Algunas de las cosas que no se deben hacer más habitualmente para permitir que el malware entre en un sistema son las siguientes:

  • No abra ningún archivo adjunto de correo electrónico que provenga de personas desconocidas o incluso de personas conocidas que contengan texto sospechoso.

  • No aceptes ninguna invitación de desconocidos en las redes sociales.

  • No abra ninguna URL enviada por personas desconocidas o personas conocidas que se encuentren en una forma extraña.

Algunos otros consejos importantes para mantener su sistema actualizado son los siguientes:

  • Siga actualizando el sistema operativo a intervalos regulares.

  • Instale y actualice el software antivirus.

Cualquier almacenamiento extraíble que se tome de terceros debe analizarse con un software antivirus actualizado. Además, tenga en cuenta comprobar también los siguientes aspectos.

  • Compruebe si su monitor está usando un protector de pantalla.

  • Compruebe si el firewall de la computadora está activado.

  • Compruebe si realiza copias de seguridad con regularidad.

  • Compruebe si hay acciones que no sean útiles.

  • Compruebe si su cuenta tiene todos los derechos o está restringida.

  • Actualice otro software de terceros.

Gestión de riesgos de malware

La gestión de los riesgos de malware es principalmente para aquellas empresas que no cumplen para los usuarios de una sola computadora. Para gestionar el riesgo que proviene de los malwares, existen algunos factores clave que aceptan las tecnologías que se están utilizando, también hay un factor humano. La gestión de riesgos tiene que ver con el análisis que identifica los riesgos de malware y los prioriza según el impacto que puedan tener en los procesos de negocio.

Para reducir los riesgos de malware en un entorno empresarial de tamaño medio, debemos considerar los siguientes puntos:

  • Activos comunes del sistema de información
  • Amenazas comunes
  • Vulnerabilities
  • Educación del usuario
  • Equilibrio entre la gestión de riesgos y las necesidades comerciales

En el próximo capítulo, aprenderemos algunas herramientas importantes de eliminación de malware.

En los capítulos anteriores, hemos discutido qué son los malwares, cómo funcionan y cómo limpiarlos. Sin embargo, en este capítulo, veremos el otro lado de la protección automatizada, que se clasifica como anti-malwares o antivirus. El uso de esta pieza de software es muy importante en estos días porque, como vimos en los capítulos anteriores, el número de malwares está aumentando exponencialmente como resultado, es imposible detectarlos.

Cada productor de anti-malwares tiene sus propias tecnologías y técnicas sobre cómo detectar los malwares, pero cabe mencionar que son muy rápidos de detectar porque se actualizan casi todos los días con las nuevas detecciones de malware.

A continuación se mencionan algunos de los antivirus o antimalware más eficaces y reconocidos a nivel mundial:

  • McAfee Stinger

  • HijackThis

  • Malwarebytes

  • Kaspersky Endpoint Security 10

  • Panda Free Anti-virus

  • Búsqueda y destrucción de Spybot

  • Antivirus gratuito Ad-Aware +

  • AVG Antivirus 2016

  • SUPERAntiSpyware

  • Microsoft Security Essentials