Como protegerse contra malware.pdf

¿Cómo protegerse contra malware?

Elaborado por: Carlos Abud Fecha de Elaboración: 08 Julio 2009

USO INTERNO Y PROPIETARIA – AXTEL, S.A.B. de C.V. y Subsidiarias Page 1 of 21


INDICE

1.0 INTRODUCCIÓN ...................................................................................................................... 2

2.0 ¿QUÉ ES MALWARE?.............................................................................................................. 2

3.0 ¿CÓMO EVITAR UNA INFECCIÓN POR MALWARE? ..................................................................... 5

4.0 ¿CÓMO ELIMINAR MALWARE DE UN EQUIPO? ........................................................................... 7

4.1 Preparación previa a eliminación de malware ................................................................ 7

4.2 Limpieza del equipo ...................................................................................................... 11

4.2.1 Removiendo programas de posible comportamiento malicioso .............................. 11

4.2.2 Arranca el equipo en Modo a Prueba de Fallos ........................................................ 12

4.2.1 Ejecutando CCleaner (opcional pero recomendado) ................................................ 13

4.2.1 Ejecutando el AntiSpyware ....................................................................................... 14

4.2.2 Ejecutando el Antivirus ............................................................................................. 15

4.3 Para terminar ................................................................................................................ 19

5.0 CONTACTO .......................................................................................................................... 21




1.0 Introducción

Es muy importante entender que es software malicioso o malware para ayudar a proteger la

información y los sistemas de AXTEL.

Es indispensable seguir las recomendaciones que aquí se presentan y hacerlas parte de la vida

laboral.

El presente documento describe los tipos de malware más común, los riesgos de infectarse por

malware, como evitar la infección y que hacer en caso de que el equipo se encuentre ya infectado.

2.0 ¿Qué es malware?

Malware es el término utilizado para describir cualquier programa o software malicioso. Los

objetivos del malware son varios, entre ellos se encuentran:

Destruir información

Robar información

Tomar control de un equipo

Afectar el funcionamiento de redes y sistemas

Dar acceso a un tercero a redes y sistemas

Enviar SPAM

Existen múltiples tipos de malware catalogados en base a su comportamiento y actividades

maliciosas:

1- Virus

Su principal objetivo es alterar o dañar equipos.

Alteran el funcionamiento del equipo y pueden llegar dañar la información

Requieren infectar otros archivos para propagarse

Insertan su “código” en los archivos a los que infecta o los reemplaza

La ejecución del archivo infectado ejecutará el código del virus propagándolo




2- Gusano

Su principal objetivo es consumir recursos y dañar la Red

No requiere infectar otros archivos para propagarse

Enfocados a dañar la red

Consumen recursos del sistema

Se aprovechan, mayormente, de sistemas operativos vulnerables

3- Troyano

Su principal objetivo es dar acceso a terceros a equipos y sistemas

Se aloja en los equipos permitiendo acceso a usuarios externos

Generalmente no daña el sistema operativo

Suelen parecer programas inofensivos al acompañar a programas “Carnada”

Algunos permiten el monitoreo de las actividades del equipo afectado (Teclado, pantalla,

programas usados, etc.) y controlar la máquina afectada (Abrir programas, cambiar

configuración, apagar la máquina, etc.)

Algunos pueden inhabilitar el antivirus y firewall

Generalmente hacen uso de Backdoors que permiten el acceso a los equipos sin el

consentimiento del usuario evadiendo la autentificación al sistema.

4- Rootkit

Su objetivo es modificas el sistema operativo de tal forma que pueda permanecer oculto

aún para los antivirus.

Permite que otros procesos maliciosos y malware se mantengan ocultos.

Otros tipos de malware hacen uso de rootkits para permanecer ocultos y realizar sus

actividades maliciosas

5- Spyware

Su objetivo es robar información y enviarla a un tercero

Puede recopilar Información sobre los hábitos de navegación, preferencias y gustos del

usuario, robar correos electrónicos, contraseñas, números de tarjetas de crédito, usuarios

de banca en línea, etc., tomar control parcial de la interacción del usuario con el equipo

Puede obtener prácticamente toda la información que pase por tu navegador de internet y

transmitirla a los programadores del software

6- Adware




El adware en realidad no es malware si no un programa que muestra mensajes

publicitarios. Sin embargo, algunos tipos de Adware cuentan con características de

Spyware por lo que se recomienda eliminarlo de los equipos.

El adware viene en presentaciones varias como Banners, Cambios en página de inicio o

búsqueda del navegador, barras de Herramientas del navegador, etc.

7- Keyloggers

El objetivo de los keyloggers es monitorear tu teclado para que un tercero pueda ver lo

que escribes.

Existen keyloggers más avanzados que puedan crear un video de lo que realizas en tu

equipo.

Puede ser una pieza de software o hardware

Buscan ser transparentes a la víctima

Puede enviar cualquier información ingresada a través del teclado a un tercero

8- Zombies, Drones, IRC Bots

Son el resultado de la infección de un equipo con software malicioso

Permite a un tercero hacer uso del equipo de forma remota

Comúnmente usados para llevar a cabo ataques masivos o focalizados a otros equipos

Hacen gran daño a los corporativos

En la actualidad los hackers venden grandes redes utilizadas para llevar a cabo ataques de

Denegación de Servicio Distribuido (DDOS)de zombies (Botnets)

Cuando tu equipo se convierte en un bot corres el riesgo de que se te involucre en algún

fraude o ataque sin que tu tengas conocimiento de ello

9- SPAM

El SPAM daña la red y consume recursos lo que permite ubicarlo como malware.

Es correo electrónico “basura” o no solicitado

Se relaciona de forma directa con Spyware y Phishing

Un ejemplo de SPAM son las cadenas de correo y algunos correos que nosotros mismos

generamos (Bacn- Redes Sociales)

Es muy común que venga acompañado de otro tipo de malware o contenga ligas a sitios

en internet que descargan malware a los equipos




3.0 ¿Cómo evitar una infección por malware?

Proteger tu equipo de malware puede llegar a ser sencillo si haces parte de tu vida diaria las

siguientes recomendaciones.

1- Haz uso de un firewall

AXTEL cuenta con un firewall corporativo que nos previene de ataques de terceros. Es muy

importante que siempre se encuentre activo ya que controla y supervisa el tráfico que entra y sale

de la máquina, tirando aquel tráfico que no sea reconocido o sea considerado como peligroso.

En tu equipo personal o de tu casa puedes activar el Firewall de Windows o descargar Comodo

que es un firewall de código abierto muy completo.

2- Actualiza tu sistema operativo, programas e internet explorer

En AXTEL se cuenta con un proceso de actualización del sistema operativo.

Actualizar el sistema operativo es indispensable para evitar la infección por gusanos y el hackeo

del equipo por un tercero que explote las vulnerabilidades de software en tu equipo.

Puedes actualizar tu equipo personal o el de tu casa entrando al sitio www.windowsupdate.com .

Este sitio identifica los parches de seguridad requeridos por tu sistema operativo e Internet

Explorer. Te recomendamos instalar al menos los parches de seguridad críticos mostrados en el

sitio para tu equipo.

Algunas aplicaciones como Flash, Adobe, Itunes, etc., cuentan con un sinfín de vulnerabilidades

que ponen tu equipo y tu información en riesgo. Es muy recomendable buscar sus actualizaciones

en el sitio del proveedor.

3- Instala un antispyware y mantenlo actualizado

Es muy importante con un antispyware ya que previene infecciones por spyware tanto durante la

navegación en internet como durante la instalación de programas o la visualización de correos

electrónicos.

AXTEL cuenta con un antispyware instalado en todos sus equipos corporativos.

Si deseas instalar un antispyware en tu equipo de cómputo personal o en el de tu casa te

recomendamos usar Windows Defender de Microsoft o Spybot. Ambos son software gratuitos.

Windows Defender es un poco más simple de utilizar mientras que Spybot te es muy eficiente y te

http://www.windowsupdate.com/




permite ser tan estricto como lo desees si eres un usuario con conocimientos más allá del usuario

común del sistema operativo.

4- Haz uso de un antivirus y mantenlo actualizado

AXTEL cuenta con un antivirus instalado en todos sus equipos corporativos.

Para tu equipo de cómputo personal o de tu casa te recomendamos AVAST que es un antivirus

muy eficiente y gratuito.

5- Navega internet de forma segura

La web está llena de información útil pero también de peligros para tu equipo y tu información.

Procura descargar programas y archivos únicamente de sitios de confianza y escanéalos con tu

antivurs antes de usarlos.

Pon atención a todos los mensajes de precaución que tu navegador despliega así como a los

acuerdos de licenciamiento y enunciados de privacidad.

Nunca des clic en una ventana emergente o pop up. Para cerrarla te recomendamos usar la

combinación de teclas ALT + F4.

Ten cuidado de todo software o archivo de descarga gratuita. Generalmente instalan programas

adjuntos que pueden perjudicar tu equipo.

Te recomendamos leer el artículo “Navegando en Internet de forma segura” que se encuentra en

manuales y procedimientos en la sección de Seguridad de Información.

6- Sigue las mejores prácticas de seguridad de información

Hacer buen uso del correo electrónico, seguir una política de escritorio limpio, usar de forma

adecuada equipos móviles y portátiles, manejar de forma adecuada la información, son algunas de

las mejores prácticas que puedes hacer parte de tu vida diaria y que pueden marcar la diferencia

entre un desastre de seguridad de información y el uso de las tecnologías para convertirte en

alguien más eficiente.

Te recomendamos leer los artículos encontrados en manuales y procedimientos que hablan más

profundamente sobre las mejores prácticas de seguridad de información.




4.0 ¿Cómo eliminar malware de un equipo?

Infectar un equipo con malware es muy sencillo. Sin embargo, limpiar el equipo removiendo la

infección puede ser muy complejo.

Cuando sospeches que tu equipo propiedad de AXTEL esté infectado llama a MASS a la extensión

81999 para que eliminen la infección.

Si la infección se encuentra en tu equipo de cómputo personal o en el de tu casa te

recomendamos seguir el siguiente procedimiento. Si no tienes experiencia te recomendamos

buscar ayuda de un ingeniero en sistemas o similar.

CUIDADO: El siguiente procedimiento puede dañar tu equipo si es realizado por manos

inexpertas.

4.1 Preparación previa a eliminación de malware

1- Respalda toda la información esencial o importante

2- Si te encuentras en Windows XP o posterior crea un punto de restauración.

a- Esto se logra dando clic en START>PROGRAMS>ACCESORIES>System

Tools>System Restore.

b- Dale un nombre al punto de restauración termina el registro del punto de

restauración siguiendo las instrucciones.

NOTA: Esto funciona para Windows XP. Para sistemas operativos más nuevos

pudiera no funcionar por lo que te recomendamos buscar ayuda en el sitio de

Microsoft o con un experto.

3- Si tienes muchos iconos en tu Desktop te recomendamos moverlos a una sola carpeta ya

que estos pueden ocasionar conflictos en el modo a prueba de fallos que estaremos

utilizando posteriormente.

4- Instala y actualiza un antivirus (Te recomendamos AVAST)

5- Instala y actualiza un antispyware (Te recomendamos Windows Defender o Spybot)

6- Instala CCcleaner (Recomendable pero no indispensable)

7- Deshabilita el System Restore

a- Da clic en START>CONTROL PANEL y da doble clic en SYSTEM

b- Selecciona la pestaña SYSTEM RESTORE

c- Selecciona TURN OFF SYSTEM RESTORE




d- Da clic en OK y en YES

8- Habilita la visualización de archivos ocultos y de sistema

a- Da clic en Start>CONTROL PANEL

b- Da doble clic en Folder Options

c- Selecciona la pestaña VIEW y busca la opción HIDDEN FILES AND FOLDERS

d- Selecciona Show hidden Files

e- Ahí mismo busca la opción HIDE PROTECTED OPERATING SYSTEM FILES y

asegurate que NO se encuentre seleccionada




9- Establece la contraseña de Administrador local

Nota: Si accedes a tu equipo utilizando una cuenta de dominio de red es necesario cambiar la

contraseña de una cuenta local con privilegios de Administrador para poder acceder a “SAFE

MODE” de Windows que será la modalidad con la cual se trabajará.

a- Da clic en el botón START

b- Da clic DERECHO del mouse en el ícono MY COMPUTER

c- Da clic en MANAGE




d- Ya dentro de la pantalla de administración da doble clic en LOCAL USERS AND

GROUPS y luego doble clic en USERS

e- Da clic derecho sobre el usuario ADMINISTRATOR y de clic en SET PASSWORD

f- Da clic en PROCEED




g- Ingresa una contraseña para el usuario ADMINISTRATOR y confírmala

h- Da clic en OK

i- Da clic en OK nuevamente

4.2 Limpieza del equipo

4.2.1 Removiendo programas de posible comportamiento malicioso

1- Da clic en START>CONTROL PANEL y da doble clic en ADD/REMOVE PROGRAMS




Aquí encontraras muchos programas instalados en tu equipo que puedes no

reconocer pero que son útiles para el buen funcionamiento de tu equipo. Si tienes

dudas sobre la naturaleza del programa no realices ninguna modificación sobre él.

2- Busca en internet referencias sobre los programas instalados y elimina únicamente

aquellos sobre los cuales tengas la certeza de que son maliciosos o que son claramente

identificados como spyware o adware. Algunos ejemplos son algunas barras de

navegación de internet explorer, programas gratuitos, juegos, etc.

3- Desinstala todo programa que hayas identificado como malicioso

4.2.2 Arranca el equipo en Modo a Prueba de Fallos

Debido a que algunos virus se cargan en el registro de Windows, es necesario iniciar el sistema

operativo en modo a prueba de fallos.

Esta modalidad del sistema operativo carga únicamente lo necesario por lo que, en la mayoría

de los casos, el malware no es inicializado. Esto permite a tu antivirus y antispyware

identificar y remover el malware de forma más eficiente.

1- Arranca tu equipo en modo a prueba de fallos, para ello primero Reinicia tu computadora

2- Inmediatamente después de que aparezca la pantalla de la marca del equipo presiona

REPETIDAMENTE la tecla F8

3- Deberá aparecer la siguiente pantalla. En caso de que aparezca el ícono de windows

repite el proceso




4- Selecciona de la lista la opción “SAFE MODE” y de ENTER

NOTA: El sistema operativo arrancará de una forma extraña donde los colores e íconos no

se ven tan bién. ESO ES NORMAL.

5- Al entrar al sistema se le preguntará si quiere continuar en SAFE MODE. De clic en YES

4.2.1 Ejecutando CCleaner (opcional pero recomendado)

Debido a que tu equipo guarda una gran cantidad de archivos temporales es mejor

eliminarlos. De lo contrario tu equipo tardará mucho más tiempo en realizar el escaneo.

1- Abre CCcleaner y da clic en RUN CLEANER




4.2.1 Ejecutando el AntiSpyware

1- Dentro del modo a prueba de FALLOS da clic en el botón START

2- Da clic en ALL PROGRAMS>Windows Defender o búscalo dentro de CONTROL PANEL

dando clic en START>Control Panel

3- Da clic en Scan




4- Solicita a Windows Defender que elimine todo lo que encuentre.

ESTE PROCESO PUEDE TARDAR DE MINUTOS A HORAS

4.2.2 Ejecutando el Antivirus

1- Da clic en ALL PROGRAMS>Symantec Endpoint Protection> Symantec Endpoint

Protection

2- Ya con el antivirus corriendo de clic en SCAN FOR THREATS>RUN FULL SCAN




3- Al terminar el escaneo, y en caso de que el equipo esté infectado, anota los nombres de

los archivos infectados, anota el nombre del virus. ES MUY IMPORTANTE ANOTAR EL

NOMBRE DEL VIRUS Y DEL ARCHIVO INFECTADO PORQUE NO BASTA CON BORRAR EL

ARCHIVO INFECTADO, ES NECESARIO EDITAR EL REGISTRO PARA QUENO QUEDE HUELLA

DE LA INFECCIÓN.

ESTE PROCESO PUEDE TARDAR DE MINUTOS A HORAS

4- Si el equipo se encuentra limpio cierra el antivirus Y PASA A

LA SECCIÓN “PARA TERMINAR” DE LO CONTRARIO

CONTINÚA

5- Si el equipo no se encuetra limpio se debe modificar el registro

PUEDES EDITAR EL REGISTRO PARA REMOVER EL VIRUS ENCONTRADO EN LA PÁGINA

WWW.SYMANTEC.COM. PERO NO ES RECOMENDABLE SI NO TIENE EXPERIENCIAS EN ELLO.

CUIDADO: NO CONTINÚES EN CASO DE NO CONTAR CON EXPERIENCIA EN

SISTEMAS

6- Una vez identificados los virus que han infectado el equipo y utilizando una máquina

distinta a la que está siendo escaneada accede al sitio www.symantec.com

http://www.symantec.com/




7- En la parte superior derecho del sitio encontrarás el campo SEARCH

8- Ingresa en ese campo el nombre del virus y da clic en ENTER o el botón para inciar la

búsqueda(si el antivirus no es norton o Symantec deberá acceder al sitio del proveedor de

antivirus para la búsqueda)}

9- Una lista de resultados será desplegada.

10- Deberás seleccionar la más adecuada de acuerdo a su criterio. Generalmente las primeras

ligas son las correctas y tienen formatos como W32.Nombre_del_virus.Algo

11- Da clic sobre la liga que lo llevará al detalle del virus. En este ejemplo se ha realizado la

búsqueda del virus SASSER. Es importante identificar la pestaña REMOVAL




12- Da clic en la pestaña REMOVAL

13- Generalmente los procedimientos de Symantec terminan con la remoción de

modificaciones que realiza el virus a su registro de Windows.

14- Identifica la sección “Reverse any changes made to the registry” al final de la página de

REMOVAL

15- De forma general, se te pedirá lo siguiente (Sigue el procedimiento en base al tipo de virus

de su interés):

a) Da clic en el botón START

b) Da clic en RUN

c) Tecleearegedit y da clic en OK

d) Ya dentro del editor de registro debes ir a la ruta indicada en el sitio de

Symantec. En este caso es: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curren

tVersion\Run




e) Esto se vería en el editor de registro como:

f) Sigue las instrucciones del sitio de Symantec y elimina los registros que

se indican.

g) En este caso se pide eliminar toda referencia del archivo infectado por

SASSER en el registro indicado.

NOTA: Es muy común que un virus modifique más de un registro. Lo

que deriva en tener que acceder a varias locaciones dentro del editor

de registro y borrar tras estar seguro de haber encontrado el registro

correcto.

4.3 Para terminar

1- Es necesario reactivar SYSTEM RESTORE.

a. Para ello reinicia la computadora de forma tradicional

b. Una vez dentro de Windows da clic en el botón START

c. Da clic en CONTROL PANEL




d. Busca el ícono SYSTEM y de doble clic sobre él

e. Da clic sobre la pestaña SYSTEM RESTORE y DESACTIVE la opción TURN OFF

SYSTEM RESTORE (quite la palomita)

f. Da clic en OK

2- Deshabilita la visualización de archivos ocultos y de sistema que anteriormente habilitaste




a- Da clic en Start>CONTROL PANEL

b- Da doble clic en Folder Options

c- Selecciona la pestaña VIEW y busca la opción HIDDEN FILES AND FOLDERS

d- Deshabilita la opción Show hidden Files

e- Ahí mismo busca la opción HIDE PROTECTED OPERATING SYSTEM FILES y

SELECCIÓNALA.

5.0 Contacto

Carlos Abud Azuara | CISSP-CEH

Especialista en Seguridad de la Información

Prevención de Pérdidas

x7425

[email protected]

Documents

Como protegerse contra malware.pdf