03 abril, 2010

Guía completa de seguridad Anti-Malware y Anti-Spyware: harramientas, consejos y recomendaciones

Esta es un guía con 6 útilies herramientas para intentar tener el sistema totalmente libre de cualquier tipo de malware. Recomiendo también para más información el blog y comunidad: infospyware.com, forospyware.com. En los cuales me ayudó a encontrar algunas de las herramientas Anti-Malware/Anti-Spyware que hago referencia en este artículo.

[1] - Utilizar AntiVirus/AntiMalwre:
Actualiza tu antivirus residente y realiza un análisis completo.
Si no tienes un antivirus instalado continua con los pasos siguientes, luego de finalizado el proceso considera instalar alguno. Por este blog hay un artículo en el cual recopilara una seria de antivirus:
Lista de: Antivirus/Antimalwares gratuitos.

[2] - Antivirus online u otro que no sea el residente en el sistema:
Por último debemos realizar un análisis online o desde otro antivirus que no sea el que tengamos instalado en el sistema, para obtener una segunda opinión y asegurarnos completamente de que la PC está limpia.
Para realizar analisis de ficheros en concretos y URLs de sitios web en los que podemos tener sospechas, podremos utilizar: virustotal.com. Este nos realiza un escaneo por diversos motores de antivirus/antimalwares y la final del proceso se muestra un informe de los resultados de cada uno de ellos.
Otra opción sería: Metascan-Online.com. Con el que podemos analizar ficheros Online en 18 antivirus a la vez. 
Un antivirus externo: NOD32 online de ESET es un antivirus online que, además de analizar el sistema elimina las amenazas encontradas. A continuación dejo unas listas (extraidas de elhacker.net) de diversos antivirus, anti-espías y analizadores de ficheros.


Antivirus Online:
http://www.pandasecurity.com/activescan/index/?track=1&Lang=es-ES&IdPais=62
http://www.eset-la.com/online-scanner
http://www.kaspersky.com/sp/virusscanner
http://www.bitdefender-es.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://housecall.trendmicro.com
http://us.mcafee.com/root/mfs/default.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://www.freedom.net/viruscenter/onlineviruscheck.html
(AntiSpyware) Anti-Espías Online
:
http://www.trendmicro.com/spyware-scan
http://www.sunbelt-software.com/dell/scan.cfm
http://www.spywareguide.com/txt_onlinescan.html
http://www.webroot.com/consumer/products/spysweeper/freescan.html
¿Saber si un fichero contiene ulgún tipo de malware?
http://www.virustotal.com
http://virscan.org
http://www.filterbit.com
http://virusscan.jotti.org
http://www.kaspersky.com/remoteviruschk.html
http://www.fortiguardcenter.com/antivirus/virus_scanner.html
Recuerda que la mayoría de los antivirus on-line necesitan Java:
http://www.java.com/es/download/manual.jsp

[3] - CD de Rescate:
También se puede hacer uso de un "CD de rescate" como el de F-Secure - Rescue CD, esta es una guía de Rescue CD (D-Secure)

[4] - Analizar e intentar desinfectar el PC con herramientas AntMalware/AntiSpyware:

[4.1] - RKill es una herramienta desarrollada por BleepingComputer que se encarga de detener los procesos de malwares conocidos y que, por lo general evitan que se puedan ejecutar herramientas Antivirus para desinfectar el sistema. Esta técnica de “autoprotección” por parte del malware es muy común en el Rogue Software (Falsos Antivirus).
RKill está "camuflado" como iExplorer.exe (podemos confiar en esta tool), para que el antivirus ya instalado en el equipo no lo malinterprete como un malware.
Después de ejecutarlo, se abrirá una Shell de Windows y se pondrá a escanear mostrándonos finalmente el resultado del log en una documento de texto (.txt). Cuando termine, se mostrará un archivo de registro que muestra los procesos que se dieron por terminados.
Rkill no elimina esos procesos maliciosos ni otra parte del malware, solo los detiene. Lo que es necesario parar para poder escanear (en el SafeMode - Modo a prueba de fallos) las siguientes tools antimalware.


[4.2] - Spybot - Search & Destroy:
- Herramienta con la que puedes descargar desde spybot.info. Instálalo, actualizalo y realiza un análisis. Este programa elimina diversas amenazas. Destacar, que los propietarios de este software, también ponen a disposición del usuario de manera gratuíta, otros tipos de software también interesantes para la seguridad y optimización del sistema, entre otras cosas.


[4.3] - Malwarebytes' Anti-Malware:
En una ocasión ya había hablado de malwarebytes. Este software elimina una gran variedad de programas maliciosos y también es muy recomendado para la eliminación de rogues o falsos antivirus. Lo puedes descargar desde malwarebytes.org. Instálalo, actualizalo y realiza un análisis rápido. El programa puede detectar y eliminar malware que otras herramientas de seguridad pasan por alto.


[4.4] - SUPERAntiSpyware Free edition:
Herramienta que analiza el sistema en busca de cualquier tipo de amenaza que pueda colarse en el PC, como puedan ser: spyware, dialers, troyanos, rootkits, gusanos, adware, malware, aplicaciones maliciosas, etc.
Cuenta también con una versión portable. Las versiones portables para este tipo de herramientas resultan cómodas y más seguras, ya que existen muchos tipos de malwares que lo que hacen es deshabilitar las herramientas de este tipo instaladas en el sistema cuando el malware se ejcuta, de este modo, si tenemos nuestra herramienta en dispositivo USB, por ejemplo, podremos realizar el escaneo en "modo a prueba de fallos" o modo a prueba de errores" (Importante_2) y si le sumamos que la aplicación que se está escaneando no la instalamos en el sistema si no que se ejecuta desde un device externo hacia el sistema, esto ayuda a proteger dicha aplicación en el la hora del escaneo y eliminación de malware.


[4.5] - Ad-Aware 2009 Free:
Herramienta gratuíta, diseñada para eliminar todo tipo de Spywares/Adwares, con total seguridad y garantía. Se actualiza casi semanalmente añadiendo remedio a cuanto nuevos Spyware detectados.


[4.6] - SpywareBlaster:
Herramienta para la prevención de ataques de spywares. No los elimina simplemente deshabilita los controles ActiveX de los mas conocidos spywares. Recomiendo por Spybot para inmunizar el sistema.


[4.7] - HijackThis:
Herramienta muy eficaz y de reducido tamaño. Puedes descargar HijackThis gratuitamente. Elimina spyware de sistemas Windows. Su uso requiere conocimientos avanzados para interpretar los 'log' que genera (archivo de texto que detalla todos los componentes detectados, buenos y malos). El log también puede ser analizado de forma automática, ideal para aquellos que quieren ahorrar tiempo interpretándolo o tienen dudas sobre qué borrar y qué no.
Aquí un post en este blog donde hablo un poco (guías y manuales) de HijackThis.
Para más información sobre como interpretar los logs de HiJackThis, podremos consultar el foro oficial de HiJackThis (en español por InfoSpyware.com) y aquí un pequeño videotutorial de su uso.


[4.8] - AdwCleaner:

Herramienta que nos permite buscar y eliminar: adware, barras de herramientas de los navegadores (toolbars), programas potencialmente no deseados o indeseables (PUP/LPI - 'Potentially Unwanted Program or undesirables'), y secuestradores de navegador como Hijackers, los cuales entre otras cosas, capturan la página de inicio de tu navegador y la cambian por otra de su interés.


[5] - Eliminar temporales y optimizar el registro:
Para eso podemos descargar y utilizar el programa gratuíto CCleaner. En la sección ''Limpiador'', elimina todos los archivos inútiles que encuentre y en la sección ''Registro'', busca y soluciona todos los problemas que encuentre. Las opciones configuradas por defecto en el programa están bien por lo que no deberás hacer nada más. Y si ya queremos disponer de configuraciones más avanzadas, entonces: Glary Utilities.



[6] - Seguridad y privacidad en la nevagación web:
Si utilizamos los navegadores más mas populares de hoy en día, como pueden ser: Internet Explorer, Mozilla Firefox, Google Chrome, Opera y Safari, en cada uno de ellos tendremos un apartado de "Opciones" en la que podremos configurar parámetros de los que iré mencionando, para coseguir intentar estar un poco más seguros cuando se navega por la red de internet y de este modo no estar tan expuestos a ataques de tecnología informática. Estos son algunos consejos personales que recomiendo:

Desactivar o deshabilitar:

  • Recordar historial.
  • No recordar nada en la barra de direcciones.
  • No recordar credenciales en formularios de registro, así como no proporcionar datos personales en el perfil de usuario del sistema.
  • Bloquear ventanas emergentes (pop-up).
  • Advertir cuando un sitio web desea instalar un complemento (podremos añadir excepciones si confiamos el sitio web).
  • Bloquear sitios reportados como atacantes y falsificados.
  • Intentar usar en la medida de que la website lo permita, protocolos criptográficos para la encriptación o cifrado de la comunicación de datos en red, como son: SSL (Secure Sockets Layer) y TLS (Transport Layer Security).
Para este último caso, podremos hacer utilidad e instalar los complementos que nos ofrecen para los navegadores web, en especial y más populares complementos para Mozilla Firefox y Google Chrome, con estos permitiremos (siempre que la página web lo permita) una redirección del protocolo HTTP (Hypertext Transfer Protocol) a HTTPS (Hypertext Transfer Protocol Secure), como son: HTTPS Finder, Force-TLS, HTTPS Everywhere (estos para Firefox), KB SSL Enforcer (este último para Chrome).

Sobre los complementos: HTTPS Everywhere y HTTPS Finder, ya había hablado en este blog sobre ellos.
Con estos complementos la comunicación se cifra por medios de estos protocólos, solo entre el usuario que realiza la petición a la website y el servidor de la misma, es decir, que nadie que este esnifando o escuchando tráfico puede ver los datos. Estos nos ayudará a prevenirnos de ataques con el complemento (seguro ya conocido por algunos): Firesheep, ya se hablara en este blog del complemento Firesheep.

Si somos usuarios de Mozilla Firefox, podemos protegernos utilizando NoScript, popular complemento o addon para Firefox el cual muchos consultores de seguridad web lo aconsejan. Y el cual, en este blog ya había hablado sobre la importancia de NoScript.

[7] - Evitar al menos el 70% de posibilidades de infectarse, con mensajes de correos electrónicos:
La mayoría de malwares de todo tipo suelen ejecutarse donde más usuarios (víctimas) a las infectar, como puede ser:
- Redes Sociales.
- Sitios webs fraudulentos.
- Redes P2P (descargas con regalo).
- Dispositivos USB/CDs/DVDs infectados.
- Sitios webs legítimos pero infectados.
- Adjuntos en Correos no solicitados (Spam).

- Podemos evitar:
> No caer en engaños de ingeniera social.
> Revisar nuestro e-mail y confiar de quién lo recibimos, aunque confiemos si el email parece sospechoso... o que no es apropiado recibirlo de ese contacto, NO abrir ningún enlace. Eliminarlo y borrarlo de la papelera. Si por algún razón fuese un mensaje no malicioso y realmente nos lo mandaría dicho contacto, si es importante lo volverá mandar. ;-)
> Si ejecutamos enlaces o hipervículos, nunca hacerlo desde el propio mensaje de correo. Copiar el contenido del enlace y pegarlo en una nueva pestaña o ventana del navegador web que utilicemos. Si se trata de un enlace acortado, nos posicionarémos con el puntero del mouse encima del hipervículo y la esquina inferior (derecha o izquierda, dependiendo del navegedor web que usemos) verémos a donde se redirige dicho link.
> Cuidado! con las cadenas de correos, diapositivas ".pps", videos, y ficheros adjuntos comprimidos. Direcctamente aconsejo ya ni abrir este tipo de mensajes de correo, excepto el de archivos adjuntos pero tendremos que estar seguros de que se trata de algo de confianza y que estamos avisados de que lo vamos a recibir ya que se trate de algo importante, y que no se trate de más pps, videos o audios..., ya que algunos malwares (y cada vez más sofisticados) entran de manera oculta o incrustados ocultamente dentro de los propios formatos.


También está el SPAM (SPiced Ham - Jamón Espaciado) ese correo no deseado y las interminábles y agobiantes "cadenas" (Hoax)

Las recomendaciones para evitar el SPAM son las siguientes:
  1. No enviar mensajes en cadena ya que los mismos generalmente son algún tipo de engaño (hoax).
  2. Si aún así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los demás destinatarios.
  3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc. ya que sólo facilita la obtención de las mismas a los spammers (personas que envían spam).
  4. Si se desea navegar o registrarse en sitios de baja confianza hágalo con cuentas de emails destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad: protegemos nuestra dirección de email mientras podemos publicar otra cuenta y administrar ambas desde el mismo lugar.
  5. Para el mismo fin también es recomendable utilizar cuentas de correo temporales y descartables como las mencionadas al pie del presente.
  6. Nunca responder este tipo de mensajes ya que con esto sólo estamos confirmando nuestra dirección de mail y sólo lograremos recibir más correo basura.
  7. Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.
Algunos filtros heurísticos de correo funcionan efectivamente previniendo gran cantidad de SPAM, pero ninguno funciona lo suficientemente bien como para olvidarnos de estos simples consejos que, utilizados correctamente, nos ayudará a recibir menos correo no deseado. Otra característica negativa de los filtros es que algunos funcionan tan sensiblemente que terminan filtrando a la carpeta de correo de spam o no deseado el correo normal o que realemente nos interesa. Pero para ello grandes compañías como Gmail, Hotmail o Yahoo trabajan a diario para mejorar estos filtros.

Evitar el Spyware:
Spyware o Software Espía son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Las recomendaciones para evitar la instalación de este tipo de software son las siguientes:
  1. Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de dudosa reputación.
  2. Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones. Generalmente incluyen puntos como "recolectamos la siguiente información del usuario" o "los daños que causa la aplicación no es nuestra responsabilidad" o "al instalar esta aplicación ud. autoriza que entreguemos sus datos a...".
  3. Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se instalan sobre el explorador.
  4. Actualmente, se nota una importante aparición de aplicaciones que simulan ser software anti-spyware que en realidad contiene spyware. Una lista de los mismos puede ser encontrada en la dirección que se detalla al pie del presente.
  5. Cuando una aplicación intente instalarse sin que ud. lo haya solicitado, desconfíe y verifique la lista anterior.
  6. Es común que los sitios dedicados al underground o pornográficos, contengan un alto contenido de programas dañinos que explotando diversas vulnerabilidades del sistema operativo o del explorador, le permiten instalarse.
  7. Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso del PC lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos necesarios para realizar sus tareas y no estar logeado como root del sistema. Ya que esto disminuye el campo de acción de un posible intruso (virus, backdoor, usuario no autorizado, etc.).
  8. Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su instalación.

[8] - Actualizaciones, Firewall y Software de gestión de descarga:
> Tener descargadas e instaladas las actualizaciones de seguridad de Microsoft Windows Update, en el caso de utilizar OS Windows, leerlas y ver en que consistirá la actualización y así decidir si nos interesa o no, ya que algunas de las actualizaciones (aunque pocas) son para detectar malware malintencionado el cual activamos OS Windows en el caso de ser una versión ilegal o pirata.
> Activar simpre el Firewall de Windows, en el caso de Windows XP -> ICF (Internet Configuration Firewall) y en el caso de Windows 7 -> WFAS (Windows Firewall Advanced Security). En su defecto podremos  utilizar un Firewall de terceros. En este blog se puede encontrar una recopilación de Firewalls:
Esta es una lista de los Firewalls más conocidos y populares de este año 2011.
Todos los Firewall tienen la misma finalidad, unos hacen lo mismo de una manera y otros de otra. Pero la función de un Firewall al fin y al cabo es simplemente y dicho a groso modo, sería: "Permitir y denegar acceso de aplicaciones u otros (mediante puertos) al equipo local". Los Firewalls desempeñan un papel importante en la seguridad del sistema, por eso, tendremos que tener la configuración adecuada a nuestras necesidades y solo permitir el tráfico en el que confiemos.
El Firewall de Windows 7 (más robusto que el Windows XP) bien configurado es suficientemente potente y seguro. Según el tipo de red que uno eliga, se configurará a modos de niveles de seguridad, a uso personal. E una red empresarial se utlizan otro tipo de políticas de seguridad mucho más redundantes. En el firewall, podremos hacer excepciones de ciertas aplicaciones que necesiten salir al exterior de nuestra red de área local y entonces dejaremos que la aplicación (o hacerlo manualmente) nos abra dichos puertos necesarios.
> Intentar no usar software de descarga P2P (Peer to Peer), ya que muchos de los malwares entran por este tipo de descargas de conexiones compartidas, y con más razón si se trata de herramientas soft-warez, un poco más seguro sería hacerlo de forma directa (dije un "poco más", no total seguridad, ni mucho menos. Ya que en ficheros de descarga directa pueden estar incrustados los malwares). O con un gestor de contenidos de descarga directa de internet (Jdownloader) y por supuesto revisar las descargas con un antivirus/antimalware o alguno online.

* Importante 1: Recuerda que en estos análisis es recomendado desactivar temporalmente la opción "Restaurar sistema" (pasos aquí) ya que podría existir una copia de seguridad de algún malware que infectó archivos del sistema, al desactivar esta opción se eliminarán todos los puntos de restauración. Como el antivirus online analiza todos los archivos incluyendo estas copias de seguridad, en caso de existir una copia de algún archivo infectado el antivirus online lo detectará mientras que un análisis del antivirus residente no.
Desactivando temporalmente "Restaurar sistema" se evita este problema, se eliminan posibles malwares respaldados y podremos estar seguros de que las amenazas detectadas están activas en el sistema.

* Importante 2: Para obtener mejores resultados, es recomendable y se debería escanear y utilizar las herramientas mencionadas anteriormente en "modo a prueba de fallos o modo a prueba de errores" (Safe mode), para ello, presionar varias veces la tecla de función 8 -> F8 al inciar el PC, durante el POST (Power On Shell Test), para acceder al menú de opciones avanzas de Windows, y ahí escoger la opción mencionada anteriormente.
La razón de analizar el equipo en el Safe Mode, es por que en este modo el PC emplea los mínimos recursos, controladores, servicios y procesos utilizados por las aplicaciones que se ejecutan en el inicio del sistema operativo. De este modo, si estamos infectados por algún tipo de malware/spyware que se carga en el inicio del sistema, este no se cargaría (aunque esto también depende de la sofisticación del malware/spyware), y así es mas fácil la eliminación de este ya que si se estuviese ejecutando (algún proceso utilizado por el malware o proceso de alguna aplicación que a su vez es utiliza por un huesped = el malware) seguramente nos bloquearía su eliminación ya que estaría en uso y no lo podríamos proceder a la eliminación, se duplicaría en otros paths, etc.

Todos estos procesos requiere su tiempo...
Pero con estos procedimientos se puede estar más seguro y libre completamente de malware y spyware...?.
Completamente, no. La seguridad es muy amplia y los desarroladores de software maliciosos siempre está diseñando nuevas modalidades de ataques y nuevos tipos de software cada vez más sofisticados. Los cuales por mucho que se actualize el antivirus... nunca estarémos 100% seguros. Pero como ya dije, con todos estos pasos conseguiremos estar mucho más seguros.

Todos los puntos mencionados, son importantes a la hora de realizar un testeo en el PC, para la comprobación de algún tipo de malware, pero en especial el punto 4.7 (HijackThis), particularmente me gusta y está muy interesante ya que, este nos muestra un informe claro y detallado de los contenidos ficheros/carpetas, procesos, servicios, etc. del sistema. Y a veces podemos encontrarnos con detalles interesantes. Y también muy importante, los puntos 7 y 8.

Podría seguir nombrando muchos más consejos, pero para que extenderme más. Lo más importante es tener claro que nunca se está del 100% seguro en la red y menos si descargamos soft-warez de sitios un poco lúgubres. Siempre aconsejo, ser muy cuidadosos con las acciones que hagamos en internet, saber por donde navegamos y que descargamos. Y un poco de "sentido común".

* Entradas relacionadas:
Lista de: Antivirus/Antimalwares gratuitos
Lista de: Firewalls gratuitos
Tipos de Malware/Badware y Clasificación de Virus Informáticos

0 Comentarios :

Publicar un comentario en la entrada

Entradas Relacionadas