VIRUS Y MALWARES
GUÍA DE DETECCIÓN Y ELIMINACIÓN DE MALWARES 2012
Debido a que el mundillo de los Virus informáticos, Spywares, Troyanos y Gusanos también han seguido evolucionando de como los conocíamos, dándole vida a nuevos integrantes como los escurridizos Rootkits, los ladrones de los Troyanos Bancarios, los secuestradores de PCs (Botnets) y los populares "Falsos Antivirus" (Rogues), es que hemos actualizado esta guía con nuevas herramientas y pasos a seguir para poder detectar y eliminar prácticamente el 90% de todo el Malware que circula por la red.
¿Qué es el Malware?
Antiguamente llamados "Virus Informáticos", hoy en día se los conoce más técnicamente como: "Malware" (del inglés, malicious software, también llamado Badware) término que engloba a todo tipo de programa o código malicioso diseñado específicamente para infectar un ordenador y así realizar acciones determinadas (dañinas o fraudulentas) para la cual fue programado.
La familia de Malwares está compuesta por?
Dentro de su familia encontramos cualquier programa malicioso como ser: Virus informáticos, Troyanos (Caballo de Troya), Troyanos Bancarios, Roguewares, Gusanos (Worm), Dialers, Hijackers, Badwares, Keyloggers, Backdoors, Falsos Antivirus (Rogues) Scarewares, Rootkits, Bootkits, Adwares, Bots, Spywares (Programas espía), etc…
¿Quiénes crean los malwares y para qué?
En la actualidad, la creación de malwares ha evolucionado hacia una industria del crimen organizado (crimeware), manejada por mafias, especializadas en todo tipo de delitos informáticos (cibercriminales) que revierten en importantes beneficios económicos para sus creadores.
¿Cómo mi PC puede resultar infectado?
Entre las principales vías de infección actualmente podemos destacar:
Al insertar en el equipo un dispositivo USB infectado.
Al visitar algún sitio web legítimo que haya sido infectado.
Al descargar falsas medicinas de programas piratas o programas "con regalo"
Al descargar un supuesto codec o actualizado de Adobe Flash para ver un vídeo
Al abrir un archivo adjunto o seguir un enlace de un correo no solicitado (Spam)
Al seguir un enlace infectado de un contacto en Messenger, Twitter, Facebook, etc.
Al visitar paginas maliciosas a las cuales fuimos dirigidos por búsquedas en Google (BlackHatSEO)
¿Cuáles serían los síntomas de que mi equipo está infectado por un malware?
El malware moderno es cada vez más sigiloso y escurridizo y ya no se trata de bórrale los datos de su disco duro, sino de aprovechar sus sistema convirtiendo su equipo en un PC Zombi (Botnet) para enviar Spam, hostear malwares, sitios de phishing, robar datos, etc.. Por lo que estos intentaran permanecer el mayor tiempo posible en su sistema sin ser detectados ni por usted, ni por sus herramientas de seguridad como el Antivirus.
En otros casos ya son más notorios al hacer modificaciones en nuestro equipo como sea el cambiar la página de inicio y de búsquedas de nuestro navegador, redirigir los resultados de Google hacia otros sitios, emitir falsos mensajes de alertas o infecciones en nuestro equipo, impedir la instalación o ejecución de programas, impedir el visitar sitios webs de seguridad como InfoSpyware.com o actualizar sus Antivirus, etc...
Autor: Marcelo Rivero
InfoSpyware - Malware Researcher
Microsoft MVP Enterprise Security.
Pues bien, ahora que son cada uno de esos virus y malwares?, ¿Cómo actúan, cómo podemos reconocerlos? y ¿cómo podemos eliminarlos? (que más nos importa). Trataremos a cada uno ellos por separados y los que más usualmente suelen infectar nuestras PC.
TROYANOS
Existen troyanos y troyanos bancarios, éste ultimo como bien lo expones la palabra ataca cuentas bancarias simulando las páginas de bancos en la pantalla, el usuario confiado de que ha entrado en la institución a la que suele tener sus transacciones, ingenuamente ingresa datos que el troyano bancario retiene y transmite a aquellos interesados en apoderarse de dichos datos, los cuales podrán ser usados mas tarde en su beneficio.
¿Qué son y cómo funcionan los troyanos bancarios?
En los últimos tiempos, las técnicas fraudulentas tradicionales (phishing) basadas en la ingeniería social han evolucionado, apoyándose en el uso de malware, en concreto, en troyanos. Así, hoy en día, la mayoría de estos especímenes de código malicioso están diseñados precisamente con el objetivo de conseguir beneficios económicos para sus creadores (Trojan-Bankings) a través de fraudes bancarios.
INTECO ha realizado un documento para que podamos conocer un poco más a fondo ¿Qué son los troyanos bancarios? ¿Qué vectores de infección explotan estos ejemplares? ¿Cómo consiguen interceptar las credenciales de las entidades financieras?, ¿Qué sucede con los datos robados? ¿Cuales son los principales países creadores de Trojan-Banking (Brasil, Rusia, China, Corea, etc)? ¿Cómo terminan materializando el robo y lavando el dinero robado? etc…
En este documento nos comentan cómo se han depurado las técnicas de captura de usuarios y contraseñas y las de monitorización. Pequeños trucos en los que por ejemplo, avisan que observar la presencia del candado de seguridad en la página de la entidad bancaria y comprobar la autenticidad del certificado de seguridad actualmente son insuficientes, al igual que contar con un buen sistema de protección Antivirus, que si bien es algo sumamente importante en los tiempos que corren, podemos caer en una falsa sensación de seguridad si no ponemos un poco de nuestra parte mediante el sentido común a la hora de navegar la red.
En el siguiente vídeo desarrollado por el investigador de amenazas “Sean-Paul Correll” de PandaLabs, se puede ver claramente la sutileza de algunos de estos ejemplares en acción, donde únicamente agregando un par de pequeñas modificaciones a la pagina del banco, es suficiente para poder apoderarse de nuestros datos y cuentas.
A continuación, desde InfoSpyware les compartimos una serie de 7 consejos básicos de buenas practicas de seguridad, para disminuir al máximo el porcentaje de poder ser victimas de un Troyano Bancario, al igual que de otros tipos de malwares.
Mantenga su sistema operativo Windows siempre actualizado y parcheado al igual que su navegador web (browser) y el resto de los programas de su equipo.
Utilice un programa Antivirus de confianza, actualizado y en su última versión disponible. En la actualidad existen varias soluciones Antivirus totalmente gratuitas con módulos Anti-troyanos o Anti-Troyanos bancarios, por lo que no es necesario contar con ningún programa extra para protegernos de estos.
También puede optar por una “Suites de Seguridad” que aparte de las protecciones tradicionales, les va a ofrecer todos los módulos de protección necesarios para cubrir todos los flancos.
Utilice un Firewalls (Cortafuegos) ya que este puede ser un excelente aliado de su Antivirus para impedir conexiones no deseadas y ayudar a mantener al equipo seguro. Win XP, Win Vista y Win 7 ya incluyen su propio Firewall gratuito el cual si bien ha ido mejorando en cada versión, este sigue siendo limitado para el trafico entrante, por lo que si busca mayor protección, puede optar por alguno de los Firewalls de esta lista.
No realice pagos ni tramites bancarios (Home Banking) Desde un cibercafé, un equipo ajeno al suyo o estando conectado a una red inalámbrica (Wi-Fi) abierta. En caso de fuerza mayor y que tenga que ser sumamente necesario, asegúrese de navegar con la opción de “Private Browsing” que incorporan todos los navegadores modernos (Internet Explore 8, Mozilla Firefox 3.x, Google Chrome, Safari 4, Opera 10) para evitar que el historial de navegación, cookies y demás información permanezcan en el equipo empleado.
Su banco NUNCA le enviara emails pidiéndole sus contraseñas ;-). Por lo que cuando reciba este tipo de emails, aunque vengan a su nombre, sean del banco donde justamente puedan tener una cuenta, y se vean muy reales por donde se los mire, Igual desconfié, nunca ingrese por un enlace puestos en estos y en todo caso contáctese telefónicamente con su casa bancaria a ver si realmente le están solicitando algún dato.
Que la pagina cuente con la protección de cifrado de datos SSL (Secure Sockets Laye) sigue siendo importante, ósea que muestre el “candadito” al igual que la dirección de la web comience por “https:”(nótese la letra “S” al final) en lugar de “http:”. Pero tal como podemos leer en el articulo y ver en el vídeo de ejemplo más abajo, esto ya puede ser replicado por los ciberdelincuentes para engañar a los usuarios.
Asesórese con su Banco en los planes antifraudes que estos dispongan y las leyes de protección de fraudes online disponibles en su país. Revise sus estados de cuenta regularmente y en caso de encontrar discrepancias, póngase en contacto inmediatamente con la entidad bancaria correspondiente..
TROYANOS:
Muchos usuarios me preguntan “¿Qué querría un atacante de mi ordenador? ¡No tengo nada relevante!”. Con esta excusa, se permiten mantener la conciencia tranquila mientras relajan las medidas de seguridad. Si no hay nada que proteger, no merece la pena esforzarse por alejar a los atacantes. Que pasen y vean… se irán sin nada.
Esta es una idea totalmente equivocada de la seguridad hoy en día, y muy peligrosa no solo para el usuario que la defiende sino para la seguridad global de Internet. La confusión tiene su origen en pensar que los atacantes quieren datos e información de la víctima, y esto no siempre es cierto. La mayor parte de las veces, lo que necesitan son sus recursos. Y esta distinción hace que cualquier usuario conectado a Internet, por el simple hecho de estarlo, ya posea cierto valor para un atacante. Veamos una serie de puntos importantes.
La mayoría de los usuarios utiliza un ordenador para conectarse a Internet. Ese dispositivo posee un poder de procesamiento que puede ser aprovechado por ciertos atacantes para realizar tareas que requieran gran poder de computación. Si consigue acceder a él y controlarlo podrán, por ejemplo, realizar “bitcoin mining“. Existen troyanos dedicados en exclusiva a utilizar los recursos del sistema para generar esta moneda virtual.
Otro recurso interesante para el atacante es la propia conexión de la víctima. El ancho de banda es relevante para un atacante porque le podría permitir usar el sistema víctima como un zombi dentro de una botnet. Una vez troyanizado, la víctima obedece órdenes y cuanto más ancho de banda, más útil como elemento de, por ejemplo, una denegación de servicio distribuida, donde los sistemas víctima inundan de peticiones la web atacada.
Es posible que la víctima disponga de contraseñas para el correo o redes sociales, por ejemplo. El atacante o troyano robará y utilizará esos datos no para cotillear sobre los correos de la víctima, sino para enviar spam personalizado a los contactos, haciéndose pasar por el atacado.
Además, si el usuario hace uso de banca online, PayPal u otros, pueden robar directamente dinero de las cuentas. Esto es algo que, hoy, todavía muchos usuarios desconocen que sea posible.
Y por último, sí que es cierto que el atacante ni quiere ni necesita para nada fotografías o documentos de usuarios anónimos en la Red… pero su legítimo dueño sí que las querrá y necesitará. Así que en última instancia pueden secuestrar el ordenador y pedir un “rescate” por volver a tener acceso a esos datos.
En definitiva, es necesario replantearse esa pregunta de “¿Qué querrían de mi ordenador?”
Autor: Sergio de los Santos
INTECO CERT
En próxima entrega seguiremos hablando de las otras variantes de programas maliciosos que abundan en internet. Hasta pronto.
