SEGURIDAD   TRIMESTRE 1                  2ºASIR     Débora García García
Seguridad                                                      Trimestre 1                                       Débora Ga...
Seguridad                                Trimestre 1                     Débora García GarcíaOBJETIVOSTen en cuenta el enu...
Seguridad                                Trimestre 1                      Débora García GarcíaIntroducciónLo primero que h...
Seguridad                                Trimestre 1                       Débora García GarcíaEn este caso está vacío por...
Seguridad                                 Trimestre 1                     Débora García GarcíaPara realizar el análisis de...
Seguridad                                Trimestre 1                      Débora García GarcíaAnálisisUna vez que nos salg...
Seguridad                               Trimestre 1                       Débora García GarcíaCon la opción de poner la ru...
Seguridad                                  Trimestre 1                     Débora García GarcíaEliminaciónPara la eliminac...
Seguridad                               Trimestre 1                    Débora García GarcíaReinicio del SO y comprobaciónU...
Upcoming SlideShare
Loading in...5
×

Sg t2 practicas_eliminar_malware

206

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
206
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Sg t2 practicas_eliminar_malware"

  1. 1. SEGURIDAD TRIMESTRE 1 2ºASIR Débora García García
  2. 2. Seguridad Trimestre 1 Débora García GarcíaÍndiceOBJETIVOS ................................................................................................................................ 2Introducción ............................................................................................................................. 3 Analizando nuestro sistema .................................................................................................. 4Análisis, detección y eliminación real (práctica) ......................................................................... 5 Análisis.................................................................................................................................. 6 Detección .............................................................................................................................. 6 Eliminación ........................................................................................................................... 8 Cerrando los procesos ....................................................................................................... 8 Eliminando las claves......................................................................................................... 8 Eliminando los archivos ..................................................................................................... 8 Reinicio del SO y comprobación......................................................................................... 9 1
  3. 3. Seguridad Trimestre 1 Débora García GarcíaOBJETIVOSTen en cuenta el enunciado y tras infectar tu sistema con el malware, intenta eliminarlo.El archivo para realizar la práctica es un malware que no realiza ningún tipo de daños enel ordenador. Simplemente se copia y se ejecuta en cada reinicio enseñando un cartelavisando de la infección.Para usarlo se recomienda desactivar el antivirus. Una vez ejecuten el archivo de lapráctica, reinicien el ordenador, sino el virus no podrá copiarse. Además así al reiniciarverán los síntomas de la infección que es un cartelito informativo.http://foro.elhacker.net/seguridad/proyecto_talleres_practicos_sobre_seguridad_informatica_orientada_al_malware-t327010.0.html;msg1612522#msg1612522 2
  4. 4. Seguridad Trimestre 1 Débora García GarcíaIntroducciónLo primero que haremos será desactivar nuestro antivirus del sistema operativo y paraasegurarnos más aun también el firewall, aunque el software malicioso con el que vamos apracticar es inofensivo, aun así he optado por trabajar desde una máquina virtual.Por lo general, el malware tiene tres acciones indispensables para asegurar su integridaden un sistema, estas son la de ejecutarse, copiarse y auto ejecutarse en cada inicio delsistema.Las rutas típicas donde se copia el malware son las siguientes (no por eso las únicas).  C:  C:Windows  C:WindowsSystem32El segundo paso, una vez ejecutado y copiado un malware creará una clave en el registrode Windows. El registro de Windows no deja de ser un software que tiene el propioWindows donde residirá una gran información sobre el sistema así como gran parte de laconfiguración de este.Para acceder al registro de Windows, simplemente deberán ir a INICIO y presionar enEJECUTAR, allí escriben “regedit” y al apretar se les abrirá el registro de Windows y veránlas distintas claves y subclaves que lo conforman.Para que un ejecutable se auto-inicie con el sistema operativo creará una clave en lassiguientes rutas:  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce 3
  5. 5. Seguridad Trimestre 1 Débora García GarcíaEn este caso está vacío porque es una máquina recién instalada y limpia.Para poder visualizar los procesos activos en un sistema, utilizaremos el administrador desistema o también conocido como taskmanager. Para ejecutar el taskmanager solodeberemos presionar las teclas CNTRL+ALT+SUPR donde se abrirá una pequeña pantallacon una pestaña con los procesos en ejecución.Pero esto sólo nos sirve para cerrar los procesos. Es importante, entender por qué hacefalta cerrar un proceso, la explicación es sencilla y es porque el propio sistema no nospermite eliminar un archivo ejecutándose con un proceso abierto. Cada ejecutable tendrásu propio proceso.Analizando nuestro sistemaPara ello utilizaremos una herramienta muy sencilla y practica que nos generará unresumen en un archivo de texto sobre los procesos y archivos que se ejecutan en elsistema. Posteriormente utilizaremos una herramienta online para analizar el loggenerado, aunque con un poco de experiencia y conocimiento cuando se adquiere másexperiencia es sencillo simplemente con el log localizar malware.La herramienta se llama hijackthis, es gratuita y la podrán encontrar en el siguiente enlace:http://free.antivirus.com/hijackthis/Simplemente deberán seleccionar un análisis del sistema con la opción de crear un log.Esto generará un archivo de texto el que guardaremos en nuestro ordenador paraposteriormente analizarlo.Una vez tengamos el log, simplemente utilizaremos uno de los servicios gratuitos onlineque permite hacer una lectura de éste y mostrarnos las claves correctas o que pueden serintrusivas. Hay veces que una clave la muestra como no segura aunque puede ser que noesté en la base de datos y por eso no la reconoce, no quiere decir que todo lo que noindica como seguro deba ser un malware. 4
  6. 6. Seguridad Trimestre 1 Débora García GarcíaPara realizar el análisis de estos archivos podremos utilizar los siguientes servicios onlinegratuitos.www.hijackthis.dehttp://hjt.networktechs.com/El uso de estos servicios es muy sencillo, simplemente suban el archivo de texto o copienel contenido en la pantalla que hay en la web, una vez hecho tendrán unos resultadosparecidos a la siguiente imagen.Como pueden ver en la imagen, toda la lista aparece con una marca verde, eso quieredecir que los procesos y archivos son correctos, en caso de aparecer con un aspa amarillaes que son desconocidos y en el caso de que tengan un aspa roja es que lo más probablees que sea algún tipo de malware.Análisis, detección y eliminación real (práctica)Lo primero que vamos hacer es descargar e instalar nuestro archivo malicioso en el sistema,previamente debemos de quitar el antivirus y si queremos también el firewall paraasegurarnos mejor de que todo vaya a salir a la primera.Descarga e instala también el software de hijackthis y ten localizadas las páginas con las quevamos a trabajar, todo esto está comentado anteriormente.Ahora reiniciaremos el sistema operativo para que se infeste. 5
  7. 7. Seguridad Trimestre 1 Débora García GarcíaAnálisisUna vez que nos salga el cartelito, es que ya tenemos el sistema infestado y ahoraejecutaremos hijackthis para que nos cree el log, lo guardamos para luego poder analizarlo enlas páginas oportunas.DetecciónNos vamos a la primera página:Introducimos el archivo log que queremos examinar. 6
  8. 8. Seguridad Trimestre 1 Débora García GarcíaCon la opción de poner la ruta del archivo no ha salido, pero no te preocupes, copia elcontenido del archivo log en el cuadro de texto y dale a analizar, también se puede hacer deesa forma.Una vez analizado observamos que todo sale en verde menos dos entradas:También lo podemos hacer desde la segunda página, copiando de nuevo el contenido delarchivo log y dale después a parse, ahora vemos los errores en rojo: 7
  9. 9. Seguridad Trimestre 1 Débora García GarcíaEliminaciónPara la eliminación seguiremos el siguiente orden.  Cerrar el proceso o procesos del ejecutable o ejecutables.  Eliminar el archivo o archivos.  Eliminar la clave o claves del registro de Windows.  Reiniciar el ordenador y comprobar.Cerrando los procesosPrimero de todo, cerraremos el proceso creado por el virus, para ello presionamosCNTRL+ALT+SUPR y vamos a la pestaña de “procesos” del administrador de tareas.Para finalizarlo, simplemente haciendo un click sobre el nombre del proceso y luego a“Finalizar proceso” se cerrará el proceso y tendremos vía libre para borrar el archivo sinproblemas.Eliminando los archivosAhora el siguiente paso es localizar el archivo y eliminarlo, para ello la ruta donde se ubicarecordemos que es:C:WINDOWSSystem32svohost.exeEliminando las clavesPor último, para dejar el ordenador limpio es importante eliminar la clave del registro, encaso de no hacerlo no pasará absolutamente nada, pero para mantener nuestroordenador y el registro de Windows más limpio se recomienda hacer el borrado.Para ello, podemos utilizar algún tipo de software que nos permita limpiar el registro declaves innecesarias, en este caso contamos con una herramienta llamada CCleaner, lapodrán descargar del siguiente enlace.http://www.ccleaner.com/No obstante, frente a la alternativa de utilizar CCleaner u otro programa similar, comosolamente hay una clave en el registro a eliminar, se puede proceder a la eliminación deforma manual mediante el registro de Windows, ya que su localización no es complicada.Para ello vamos a inicio y en la pestaña de ejecutar o en buscar, según sistema operativoescribimos REGEDIT. Al aceptar se nos abrirá el registro de Windows.En el registro de Windows, simplemente se deberá localizar la siguiente clave y borrarla.O4 - HKLM..Run: [Soundman] svohost.EXE 8
  10. 10. Seguridad Trimestre 1 Débora García GarcíaReinicio del SO y comprobaciónUna vez llegados a este punto, aparentemente el malware estará eliminado del equipo.De todas formas, es muy importante asegurar que no queda ningún indicio de este, paraello reiniciaremos el ordenador y comprobaremos que no existen los archivos maliciosos ylas rutas del registro de Windows.A veces ocurre, que al reiniciar vuelven a aparecer los archivos y claves del registro deWindows, en este caso suele pasar que hay más de un ejecutable del malware activo en elordenador y al reiniciar vuelve a crear las copias.En caso de que en el log del hijackthis no aparezca nada más que nos pueda hacersospechar, podría darse el caso de que el malware tuviera función de rootkit, es decir quese ejecutara bajo un proceso de un archivo del sistema por ejemplo y no se hayadetectado. 9

×