29 abril, 2010

Eliminar archivos bloqueados con, "Unlocker" o "Tizer Unlocker"

- A veces pasa que ciertos archivos no se dan borrado del sistema, por que windows dice: que este archivo esta en uso o bloqueado. Cuando ocurre esto simplemente llega con reniciar el equipo e intentarlo borrar otra vez. Si esto no funciona o si no queremos reniciar el PC contamos con estas aplicaciones.

- Tize Unlocker, es una herramienta que permite desbloquear los archivos que están en uso, de esta forma podrás mover, renombrar o eliminar cualquier archivo. Sólo basta con indicar la ruta del archivo o carpeta en cuestión y el programa intentará desbloquearlo, también se integra al menú contextual de windows, así si clicamos botón derecho del ratón sobre el archivo que queremos borrar, nos saldrá la opción en el menú desplegable el programa.
- Esta aplicación está disponible en Ingles y es compatible con Windows XP, Vista y 7.

* Descarga: Aquí

- Unlocker, es otro herramienta similar a Tize Unlocker, y de las misma funcionalidad. Para quien no le resultara efectivo Tize Unlocker, puede probar con este otro.
- Está disponible en Español, y es compatible con Windows XP, Vista y 7.

* Descarga: Aquí

* Fuente | Softonic

25 abril, 2010

Mensaje de alerta al apagar el PC, para no olvidar el Pendrive (Memoria USB)

- En el siguiente minitutorial voy explicar como hacer un mensaje de alerta para no olvidar de retirar el pendrive en tu PC. Así al apagar el equipo nos sadrá un mensaje de alerta que nos avisará de retirar este dispositivo USB.

- Creamos un script para windows:

Const DriveTypeRemovable = 1
Set oFS = Wscript.CreateObject("Scripting.FileSystemObject")
Set oDrives = oFS.Drives 'Loop thru A-Z. If found, exit early.
For Each Drive in oDrives>
If Drive.DriveType = DriveTypeRemovable Then
If Drive.DriveLetter <> "A" Then
Wscript.Echo "No olvides de quitar el Pendrive!! ; ) | " + Drive.DriveLetter
End If
End If
Next
- El script podemos hacerlo nosotros mismos, copiando este script en un block de notas (.txt).
- Y lo guardamos con el nombre que queramos, pero el fichero debe tener la extensión ".vbs" (en mi caso le puse "olvipendrive.vbs"). Este script será el que nos advierta de que tenemos un pendrive conectado, cuando cerremos sesión o apagemos el PC. Si no tenemos en ninguna unidad USB de memoria, no nos avisará de nada.
- La selección de color rojo en el script es lo que podremos cambiar para el texto que nos ponga en el mensaje.

- Guardamos el script en el path: 

C:\WINDOWS\system32\GroupPolicy\User\Scripts\Logoff
- Como esas carpetas están ocultas, tendremos que activar lo siguiente:
* Vamos a un navegador de windows y en "Herranientas (con win XP)" "Organizar (con win vista o 7)" -> Opciones de Carpeta -> En la pestaña "Ver" -> Marcamos la opción "Mostrar todos los archivos y carpetas ocultos".


- Después abrimos una ventana de "Ejecutar de windows (tecla Windows + R)".
- Y escribimos "gpedit.msc" para entrar a la configuración de directivas de grupos.
- Una vez que se nos abra la ventana de directivas de grupo, vamos a: ''Configuración de usuario/Configuración de Windows/Script (inicio de sesión o cierre de sesión)''.


- En el panel de la derecha hacemos doble click sobre "Cerrar sesión" y después a "Agregar", buscamos el script en la dirección donde lo tenemos que sería: "C:\WINDOWS\system32\GroupPolicy\User\Scripts\Logoff".


- Una vez que lo seleccionemos, pulsamos aplicar y acpetar y listo. Ahora siempre que tengamos un pendrive en nuestro equipo nos avisará de retirarlo. ; )


* Fuente | Spamloco.net

24 abril, 2010

Poner contraseñas a las carpetas con: Lockdir

- Lockdir, es una herramienta que nos permite asignarle la contraseña que queramos a una carpeta en la que después puede a ver más carpetas, archivos, etc.

- Para utilizar lockdir simplemente copia el programa a la carpeta que deseas proteger.
- Después dale doble click al programa, en el que se te abrirá diciendo que introduzcas una contraseña y que repitas la contraseña, clickamos en "Protect" y listo. (verás que la carpeta quedo vacia, pero en realidad no lo está). También veremos que tiene dos opciones:
* Protect Current's: Será la configuración por defecto.
* Protect Other's: Está opción simplemente es por si quieres bloquear una carpeta a distancia y tener separado el lockdir de carpeta donde que vayas a proteger.

- Para desbloquearla, haciendo doble click en lockdir nos saltará la ventana para introducir la contraseña, pero verás que puede elegir entre 3 opciones:


* Virtual Disk --> Esto lo que hace es crear una unidad virtual, en la cual te aparecerá una ventana con estas opciones:
- "Minimize to tray" --> Minimiza el Programa en la barra de tareas de windows para su posterior uso.
– "Restore Protected" --> Restaurar protejido, osea lo devuelve a su estado anterior, ese en el que estaba todo comprimido en el lockdir.exe
– "Minimize to tray afer unprotection" --> Este es un check si lo marcas lo que hace es que siempre que lo desprotejas quedará minimizado en la barra de tareas de windows, siempre. (no lo recomiendo ya que te confunde al momento de desprotejer).

* Customize: Esta opcion lo extrae pero en la misma carpeta, no crea una unidad virtual. Y la ventana que aparece después basicamente viene siendo la misma que la opción anterior, con la diferencia de que añade la opción "Cancel Protected" que cancela la proteccion, lo deja como estaba antes de q lo protejieras.

* Complete: Esta opción es cuando ya no lo quieres protejer y deseas dejarlo permanentemente desprotejido, es decir como una carpeta normal.

- Es software gratuito.
* Descarga: Aquí

Anti-Malware: "MalwareBytes' Anti-Malware"

- MalwareBytes' Anti-Malware, es una herramienta que probe y es capaz de eliminar la mayoría de infecciones que pueda tener nuestro PC, es una aplicación de pago y que está disponible en lenguage español, aunque en la descarga donde hago referencia en el enlace figuren unos pasos para activar la licencia y contenga el serial.

- Cito breve y sencillamente los pasos:
- Cuando tengamos descargado en instalado en nuestro PC la herramienta, vamos a la pestaña "Protección" y pulsamos en "Registro", nos abrirá una ventana en la cual introduciremos el "Name" y el "Serial" (que dejo puestos al final del post, o que también vienen incluidos en el rar de la descarga). Pedirá reniciar el equipo, o en caso de que no lo pida, lo reniciamos igualmente, cuando lo volvamos abrir veremos que en la pestaña "Protección" ya nos habilitó una especie de menu con más opciones.

- Tiene la facilidad de poder programarlo y configurarlo versatilmente, también almacena unos logs del historial de cada escaneo que se vaya haciendo en el PC, asi también como escaneos programados y actualizaciones automáticas también programables.

* Descargar versión Free de MalwareBytes' Anti-Malware: Aquí (Página oficial)
* Descargar versión PRO de MalwareBytes' Anti-Malware: Aquí
SERIAL PARA ACTIVARLO:

--------------------------------------------------------
Name: 9WB28
Serial: BL7A-7ATQ-R15X-D0H2
--------------------------------------------------------

22 abril, 2010

HijackThis: Escanea y elimina "basura" de los navegadores web y el equipo

HijackThis, es un software gratuito especialista en eliminar "basura", principalmente en detectar modificaciones en los navegadores web instalados en nuestro equipo.
Con esto me refiero a: toolbars, motores de búsquedas predeterminados, browser hijacking, PUPs (Potentially Unwanted Program), spam de "juegos, casinos, pornografía, etc.".

Estas se instalan en la mayoría de los casos intencionadamente o sin que el usuario se de cuenta de lo que sucede al instalar una aplicación de terceros. Si querer podemos estar instalando además de la aplicación que nos interesa otras que sean publicidad de la aplicación legítima, estas se le conocen como ya mencioné antes: PUPs o simplemente contenido AdWare, normalmente siempre tiene relación con la instalación de complementos en los navegadores webs, pero no siempre es así ya que en ocasiones se nos puede instalar una aplicación en nuestro equipo local, la cual tendríamos que eliminar exhaustivamente.

Hijackthis escanea la situación actual del estado de nuestro equipo para posteriormente intentar reparar estas "intrusiones", en muchas ocasiones no deseadas. Al final del escaneo podremos definir que se nos genere a mayores un documento de texto el cual podremos guardar y a analizar detalladamente.

Sin embargo, hay que saber lo que se toca, por eso existe el Foro Oficial de HijackThis, en el cual puedes publicar el log (historial detallado que crea HijackThis) que se genera luego del análisis a tu sistema operativo para que de esa forma usuarios expertos te puedan ayudar y orientar correctamente.

Aclarar que no todo el contenido del log mostrado de es "malo" simplemente habría que entenderlo y saber que tenemos o no instalado de forma legítima en nuestro equipo.

Figura 1: Análises de HijackThis en un equipo Windows.

Este log resultante consta de unos códigos numéricos los cuales indican el tipo de resultado obtenido, una lista de la definición de estos números sería la siguiente:

R0, R1, R2, R3: las URL de paginas de inicio/búsqueda  en el Internet Explorer.
F0, F1, F2, F3: Programas cargados a partir de ficheros  *.ini (system.ini, win.ini)
N1, N2, N3, N4: las URL de paginas de inicio/búsqueda de Netscape o Firefox.
O1: Redirecciones mediante aviso del fichero HOSTS.
O2: BHO (Browser Help Object); Son plugins para aumentar la funcionalidad de Internet, pero también pueden ser spywares.
O3: Toolbars del IE. (Internet Explorer).
O4: Aplicaciones que cargan en el inicio automático de Windows, ya sea desde el registro o desde la carpeta Inicio.
O5: Son las opciones de IE no visibles desde el panel de control de Windows.
O6: Acceso restringido por el Administrador a las opciones de IE.
O7: Acceso restringido por el Administrador al Registro.
O8: Elementos encontrados en el menú contextual del IE.
O9: Botones adicionales que se encuentran en la barra de herramientas de IE. Ej. : Flasget, DAP, Encarta, etc.
O10: Winsock Hijackers.
O11: Adición de un grupo extra en las opciones avanzadas de IE.
O12: Plugins para IE.
O13: Hijack del prefijo en IE.
O14: Hijack de la configuración por defecto del IE.
O15: Sitios no autorizados en la zona segura configurada por IE.
O16: Objetos ActiveX.
O17: Hijack del Dominio / Lop.com
O18: Protocolos extra / Hijack de estos.
O19: Hijack de la hoja de estilo del Usuario
O20: Valores del registro auto ejecutables AppInit_DLLs.
O21: Llaves del registro auto ejecutables ShellServiceObjectDelayLoad.
O22: Llaves del registro auto ejecutables SharedTaskSheduler.
O23: Servicios.

Descargar HijackThis

Guía detallada por forospyware.com
Dejo una guía de como analizar un fichero de log HijackThis by "Zinc" del foro.elhacker.net

21 abril, 2010

Tipos de Malware/Badware y Clasificación de Virus Informáticos

Este artículo es con la intención de comprender en aspectos básicos las asociaciones de los diversos terminos para las amenazas relazionadas con el Malware o Badware. Y de ese modo conseguir una mayor comprensión sobre el tema.
Esta info fue recopilada de diversos espacios webs y adaptada por Zona System para este artículo y tener así una recopilación de todo en una misma entrada y tenerlo así también como apunte personal.

Tipos de Malware/Badware:

- Troyanos:
No es propiamente un virus como tal, ya que no se replica ni tampoco intenta infectar a otros archivos. Si no que es un programa malicioso con los que veremos a posteriori. Existen multitud de malwares Troyanos y métodos de troyanización.
La tarea que realizan esta clase de aplicaciones es la de introducirse en la computadora víctima mediante el engaño. Para ello, los desarrolladores de los mismos introducen en una aplicación aparentemente inofensiva un segundo programa, es decir el troyano propiamente dicho, el cual instalará en nuestra PC el código necesario para cumplir con las tareas especificadas por su creador.
Las acciones que pueden ser desarrolladas por estos troyanos incluyen la apertura de puertos de nuestra computadora, para permitir que cualquier intruso controle nuestros movimientos de forma remota. Así como también recolectar y enviar cualquier dato sensible que podamos tener a resguardo en nuestro equipamiento informático.
Asimismo pueden contener bombas lógicas, las cuales ejecutarán su código malicioso al cumplirse cualquier condición que haya establecido su programador.
Un aspecto muy importante a tener en cuenta es la peligrosidad de estos programas. De forma similar a los virus, estos tienen la capacidad de destruir de manera permanente cualquier archivo, además de inutilizar por completo la información guardada en el disco rígido.

- Gusanos (Worms):
Si bien a efectos de su catalogación son considerados como virus, lo cierto es que este tipo de programas no infectan otros archivos. El objetivo para el cual fueron desarrollados es la replicación a la máxima celeridad posible, logrando de este modo el colapso total de cualquier red en la cual pudieran haber ingresado.
El chat o el correo electrónico es una de las formas más utilizadas para la propagación e infección de los gusanos. También pueden propagarse y desarrollarse en la memoria RAM de la computadora.

- Ladillas Virtuales (Virtual Crab):
Es un tipos de programa maligno que, como analogía al parásito de transmisión sexual, entra en una computadora a través del "sexo virtual", sitios webs pornográficos o cualquier aplicación relacionada.
Los sitios web pornográficos suelen ser un gran caldo de cultivo para estos parásitos virtuales.  Al igual que los gusanos intentan multiplicarse por todo el sistema una vez infectado y los síntomas que pueden padecer los atacantes son similares a los de los Gusanos (Worms).

- Botnet (redes de Zombies):
Los bots son propagados a través de Internet utilizando a un gusano como transporte, envíos masivos de ellos mediante correo electrónico o aprovechando vulnerabilidades en navegadores web.
Una vez que se logra una gran cantidad de sistemas infectados mediante Troyanos, se forman amplias redes que "trabajan" para el creador del programa. Aquí hay que destacar tres puntos importantes:
  1. Este trabajo en red se beneficia del principio de "computación distribuida", miles de sistemas funcionando juntos tienen una mayor capacidad de procesamiento que cualquier sistema aislado.
  2. El creador del programa puede ser una red de delincuencia que ha armado su ataque, y que tienen estos programas trabajando en su beneficio.
  3. El grupo "propietario de la red" de zombies puede alquilar a otros grupos su red para realizar alguna acción ilegal. El objetivo de las redes zombies puede ser realizar ataques de DDoS (Distributed Denial of Service), distribución de SPAM, etc.
- Backdoor:
Estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de modo tal de permitir al creador del backdoor tener acceso al sistema y hacer lo que desee con él.
El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de ellos libremente hasta el punto de formas redes de botnes.

- Exploit:
Un Exploit es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador del mismo.
Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo, generalmente se lo utiliza para otros fines como permitir el acceso a un sistema o como parte de otros malware como gusanos y troyanos.
Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal.
Existen diversos tipos de exploits dependiendo las vulnerabilidades utilizadas y son publicados cientos de ellos por día para cualquier sistema y programa existente pero sólo una gran minoría son utilizados como parte de otros malware (aquellos que pueden ser explotados en forma relativamente sencilla y que pueden lograr gran repercusión).

Zero Day (Día cero): Cuando está aplicado a la información, el "Zero Day" significa generalmente información no disponible públicamente. Esto se utiliza a menudo para describir exploits de vulnerabilidades a la seguridad que no son conocidas por los profesionales del tema.
Se definie Zero Day como cualquier exploit que no haya sido mitigado por un parche del vendedor.

- Keylogger:
Como su nombre lo indica un Keylogger es un programa que registra y graba la pulsación de teclas (y algunos también clicks del mouse). La información recolectada será utilizada luego por la persona que lo haya instalado. Actualmente existen dispositivos de hardware o bien aplicaciones (software) que realizan estas tareas.
Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra computadora y el teclado. Son difíciles de identificar para un usuario inexperto pero si se presta atención es posible reconocerlos a simple vista. Tienen distintas capacidades de almacenamiento, son comprados en cualquier casa especializada y generalmente son instalados por empresas que desean monitorizar a ciertos empleados.
Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala ya que registrar a un usuario mediante este accionar puede interpretarse como una violación a su privacidad. Es aquí donde cobra relevancia una política de seguridad clara, puesta por escrito y firmada por el usuario.
Con respecto a las Keyloggers por software, actualmente son los más comunes, muy utilizados por el malware orientado a robar datos confidenciales o privados del usuario. Como es de imaginar, la información obtenida es todo lo que el usuario ingrese en su teclado como por ejemplo documentos, nombres de usuarios, contraseñas, números de tarjetas, PINes, etc.
Esto explica el porque de su gran éxito y utilización actual ya que como sabemos el malware, cada vez más orientado al delito, puede utilizar esta herramienta para proporcionar información sensible del usuario a un atacante.

- Stealer:
Se define como Stealer (ladrón de información) a un programa troyano que se introduce a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, logins en accesos a sitios web, contraseñas o números de tarjetas de crédito. Se suele propagar en la mayoría de los casos mediante correos electrónicos en forma de Spam.
Entre alguno de sus síntomas están los de: la desconexión involuntaria de un sitio web, para así volver a logearnos en el sitio y Stealer capturar esa información, sería como un Keylogger por software. Si somo usuarios de MSN Messenger, este envía mensajes falsos e incluso introduciendo en ellos datos incluidos haciendo creer al usuario destinatario que son datos enviados por el usuario infectado, pero el destinatario no lo sabe. Para usuarios inexpertos es dificil que sepan detectar el tipo de mensajes, pero solo con ver algunos ejemplos ya uno se da de cuenta del engaño.

- Phising:
Se define Phishing como la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando correos electrónicos de SPAM e invitando acceder a la página señuelo. El objetvo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.
El Phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.
De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario.
Para evitar este tipo de ataques, no debemos abrir enlaces de remitentes que desconozcamos o nos parezcan sospechos, si el contenido del mensaje tiene faltas ortográficas, el mensaje está mezclado e dos o más lenguas, debemos tener la confianza de que el enlace que se nos puedra mostrar es de confianza. Nunca abrir un enlace con un clic del ratón desde el propio panel de correo, colocándonos encima del enlace en la navegador web que utilicemos nos avisará en la parte infererior (barra de complementos) hacia donde nos redirije dicho enlace. Iigualmente, si tenemos confianza en el sitio deberémos seleccionar el enlace -> copiarlo -> y pegarlo e la barra de direcciones de una nueva pestaña o ventana del navegador. Si una vez dentro nos parece sospecho a la hora de ingresar algún dato, cerramos la web y porsupuesto no proporcionámos ninguna información. 

- Pharming:
El Pharming es el aprovechamiento de una vulnerabilidad en el software de los servidores DNS (Domain Name System - Encargados de convertir direcciones IP en nombres) que permite a un atacante adquirir el nombre de dominio de un sitio, y redirigir el tráfico de la página Web original hacia la página Web falsa.

- Rogues, Scareware o FakesAVs (falsos antivirus):
Los Rogue, Scareware o FakesAVs son sitios web o programas que simulan ser una aplicación de seguridad, generalmente gratuita, pero que en realidad instalan otros programas dañinos. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado.
Estos programas, que el la mayoría de los casos son falsos antivirus, no suelen realizar exploraciones reales, ni tampoco eliminan los virus del sistema si los tuviera, simplemente informan que se ha realizado con éxito la desinfección del equipo, aunque en realidad no se a realizado ninguna acción, si no, que a sido infectado con el código malicioso que el atancante desarrollara para obenter algún veneficio.
Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al usuario.

- Ransomware:
Los Ransomware es un tipo de malware que mediante distintas técnicas imposibilita al usuario propi de un documento acceder al mismo. El modo más comúnmente utilizado es cifrar con clave dicho documento y dejar instrucciones al usuario para obtenerla, posterior al pago de "rescate". Es una variante de los malwares tipo Rogue o FakesAVs.

- Hoax:
Un Hoax (del inglés: engaño, bulo) es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal. Los objetivos que persigue quien inicia un hoax son: alimentar su ego, captar direcciones de correo y saturar la red o los servidores de correo.
Frecuentemente, circulan por Internet falsos mensajes de alerta sobre virus, conocidos como Hoaxes o bulos. Su finalidad es generar alarma y confusión entre los usuarios.

- SPAM:
Se define SPAM a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La vía más utilizada es la basada en el correo electrónico pero puede presentarse por programas de mensajería instantánea o por teléfono móvil.
El término spam tiene su origen en el "jamón especiado" (SPiced hAM), primer producto de carne enlatada que no necesitaba frigorífico para su conservación.
Debido a esto, su uso se generalizó, pasando a formar parte del rancho habitual de los ejércitos de Estados Unidos y Rusia durante la Segunda Guerra Mundial. Posteriormente, en 1969, el grupo de actores Monthy Python protagonizó una popular escena, en la cual los clientes de una cafetería intentaban elegir de un menú en el que todos los platos contenían...jamón especiado, mientras un coro de vikingos canta a voz en grito "spam, spam, spam, rico spam, maravilloso spam".
En resumen, el spam aparecía en todas partes, y ahogaba el resto de conversaciones . Haciendo un poco de historia, el primer caso de spam del que se tiene noticia es una carta enviada en 1978 por la empresa Digital Equipment Corporation.
Esta compañía envió un anuncio sobre su ordenador DEC-20 a todos los usuarios de ArpaNet (precursora de Internet) de la costa occidental de los Estados Unidos. Sin embargo, la palabra spam no se adoptó hasta 1994, cuando en Usenet apareció un anuncio del despacho de los abogados Lawrence Cantera y Martha Siegel. Informaban de su servicio para rellenar formularios de la lotería que da acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado mediante un script a todos los grupos de discusión que existían por aquel entonces. Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:
  • La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada.
  • El mensaje no suele tener dirección Reply (no se puede contestar).
  • Presentan un asunto llamativo.
  • El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción.
  • La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español.
Aunque el método de distribución más habitual es el correo electrónico, existen diversas variantes, cada cual con su propio nombre asociado en función de su canal de distribución:
  • Spam: enviado a través del correo electrónico.
  • Spim: específico para aplicaciones del tipo Mensajería Instantánea (MSN Messenger, Yahoo Messenger, etc).
  • Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio de transmisión para realizar llamadas telefónicas.
  • Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message Service).
El spam es un fenómeno que va en aumento día a día, y representa un elevado porcentaje del tráfico de correo electrónico total. Además, a medida que surgen nuevas soluciones y tecnologías más efectivas para luchar contra el spam, los spammers (usuarios maliciosos que se dedican profesionalmente a enviar spam) se vuelven a su vez más sofisticados, y modifican sus técnicas con objeto de evitar las contramedidas desplegadas por los usuarios.
¿Cómo funciona? ¿Cómo se distribuye? Obtención de direcciones de correo Los spammers tratan de conseguir el mayor número posible de direcciones de correo electrónico válidas, es decir, realmente utilizadas por usuarios. Con este objeto, utilizan distintas técnicas, algunas de ellas altamente sofisticadas:
  • Listas de correo: el spammer se da de alta en la lista de correo, y anota las direcciones del resto de miembros.
  • Compra de bases de datos de usuarios a particulares o empresas: aunque este tipo de actividad es ilegal, en la práctica se realiza, y hay un mercado subyacente.
  • Uso de robots (programas automáticos), que recorren Internet en busca de direcciones en páginas web, grupos de noticias, weblogs, etc. En las que pueda haber direcciones de correo electrónico.
  • Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo electrónico pertenecientes a un dominio específico, y envía mensajes a las mismas. El servidor de correo del dominio responderá con un error a las direcciones que no existan realmente, de modo que el spammer puede averiguar cuáles de las direcciones que ha generado son válidas. Las direcciones pueden componerse mediante un diccionario o mediante fuerza bruta, es decir, probando todas las combinaciones posibles de caracteres.
Por lo tanto, todos los usuarios del correo electrónico corremos el riesgo de ser víctimas de estos intentos de ataques. Cualquier dirección pública en Internet (que haya sido utilizada en foros, grupos de noticias o en algún sitio web) será más susceptible de ser víctima del spam.
Actualmente hay empresas que facturan millones de dólares al año recolectando direcciones de correo electrónico, vendiéndolas y enviándoles mensajes de promociones, ofertas, y publicidad no solicitada, pero con la sofisticación de que algunas saben lo que nos interesa y buscamos y nos envian publicidad relacionada, para caer más facilmente en el engaño.
Las recomendaciones para evitar el SPAM son las siguientes:
  1. No enviar mensajes en cadena ya que los mismos generalmente son algún tipo de engaño (hoax).
  2. Si aún así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los demás destinatarios.
  3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc. ya que sólo facilita la obtención de las mismas a los spammers (personas que envían spam).
  4. Si se desea navegar o registrarse en sitios de baja confianza hágalo con cuentas de emails destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad: protegemos nuestra dirección de email mientras podemos publicar otra cuenta y administrar ambas desde el mismo lugar.
  5. Para el mismo fin también es recomendable utilizar cuentas de correo temporales y descartables como las mencionadas al pie del presente.
  6. Nunca responder este tipo de mensajes ya que con esto sólo estamos confirmando nuestra dirección de email y sólo lograremos recibir más correo basura.
  7. Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.
Algunos filtros heurísticos de correo funcionan efectivamente previniendo gran cantidad de SPAM, pero ninguno funciona lo suficientemente bien como para olvidarnos de estos simples consejos que, utilizados correctamente, nos ayudará a recibir menos correo no deseado. Otra característica negativa de los filtros es que algunos funcionan tan sensiblemente que terminan filtrando a la carpeta de correo de spam o no deseado el correo normal o que realemente nos interesa. Pero para ello grandes compañías como Gmail, Hotmail o Yahoo trabajan a diario para mejorar estos filtros.

- Adware:
Se define como Adware al software que despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes (pop-up), o a través de una barra que aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario.
Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas de los navegadores de Internet o en los clientes de correo. Estas barras de tareas personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con publicidad, sea lo que sea que el mismo usuario esté buscando. También puede reflejarse en banners publicitarios, en la mayoría de los casos engaños, que hacen scroll por la website visitada.

- Spyware:
Se define como Spyware o Software Espía a las aplicaciones que recopilan información sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Normalmente, estos software envían información a sus servidores, en función de los hábitos de navegación del usuario. También, recogen datos acerca de las webs que se visitan y la información que se solicita en esos sitios, así como direcciones IP y URLs que se navegan.
Esta información es explotada para propósitos de mercadotecnia y muchas veces es el origen de otra plaga como el SPAM, ya que pueden encarar publicidad personalizada hacia el usuario afectado. Con estos datos, además, es posible crear perfiles estadísticos de los hábitos de los internautas.
Los programas espías son aplicaciones informáticas que recopilan datos sobre los hábitos de navegación, preferencias y gustos del usuario. Los datos recogidos son transmitidos a los propios fabricantes o a terceros, bien directamente, bien después de ser almacenados en el ordenador.
Las recomendaciones para evitar la instalación de este tipo de software son las siguientes:
  1. Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de dudosa reputación.
  2. Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones. Generalmente incluyen puntos como "recolectamos la siguiente información del usuario" o "los daños que causa la aplicación no es nuestra responsabilidad" o "al instalar esta aplicación ud. autoriza que entreguemos sus datos a...".
  3. Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se instalan sobre el explorador.
  4. Actualmente, se nota una importante aparición de aplicaciones que simulan ser software anti-spyware que en realidad contiene spyware. Una lista de los mismos puede ser encontrada en la dirección que se detalla al pie del presente.
  5. Cuando una aplicación intente instalarse sin que ud. lo haya solicitado, desconfíe y verifique la lista anterior.
  6. Es común que los sitios dedicados al underground o pornográficos, contengan un alto contenido de programas dañinos que explotando diversas vulnerabilidades del sistema operativo o del explorador, le permiten instalarse.
  7. Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso del PC lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos necesarios para realizar sus tareas y no estar logeado como root del sistema. Ya que esto disminuye el campo de acción de un posible intruso (virus, backdoor, usuario no autorizado, etc.).
  8. Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su instalación.
El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a páginas web que contienen determinados controles ActiveX o código que explota una determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc.
El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de datos y la forma en que son posteriormente utilizados.
Lista de Antispyware sospechoso: http://www.spywarewarrior.com/rogue_anti-spyware.htm
Este sitio ofrece una lista de software sospechoso. La lista es mantenida por Eric L. Howes profesor en la GSLIS (Graduate School of Library and Information Science) de la Universidad de Illinois, EE.UU.

- Dialer:
Tratan de establecer conexión telefónica con un número de tarificación especial.
Dialer es un programa que, sin el consentimiento del usuario, cuelga la conexión telefónica que se está utilizando en ese momento (la que permite el acceso a Internet, mediante el marcado de un determinado número de teléfono) y establece otra, marcando un número de teléfono de tarificación especial. Esto supondrá un notable aumento del importe en la factura telefónica.
Los dialers NO funcionan con conexiones ADSL y/o cable ya que este tipo de conexiones no realiza marcado para una conexión telefónica.

- Scumware o escoria:
Estas aplicaciones infectan los sitios Web, a través de ordenadores y servidores, modificando su contenido y estructura sin permiso. El Scumware puede modificar nuestros banners de publicidad, agregar información falsa u ofensiva en nuestras páginas, añadir enlaces publicitarios sin permiso, etcétera. Lo que sería conocido como ataques "Website defacement" o "Defacing".

- Hijacker:
Se encargan de “Secuestrar” las funciones de nuestro sistema cambiando la página de inicio y búsqueda y/o otros ajustes del navegador. Estos pueden ser instalados en el sistema sin nuestro consentimiento al visitar ciertos sitios web mediante controles ActiveX o bien ser incluidos por un troyano. 

- Joke:
El objetivo de un Joke es crear algún efecto molesto o humorístico como una broma al ordenador del usuario.

- RootKit:
Un RootKit es un programa o conjunto de programas que un intruso usa para esconder su presencia en un sistema integrándose ocultamente e otras aplicaciones, procesos, archivos, directorios, claves de registro. Abre puertos de nuestra máquina que al atacante le permitirá acceder en el futuro para acceso al sistema y así manipular el mismo.
Para completar su objetivo, un Rootkit altera el flujo de ejecución del sistema operativo o manipula un conjunto de datos del sistema para evitar la auditoria.
Un rootkit no es un exploit, es lo que el atacante usa después del exploit inicial. En algunos aspectos, un rootkit es más interesante que un Exploit, incluso que un 0-day.
Un Expoit 0-day es una bala, pero un Rootkit puede decir mucho del atacante, como cuál era su motivación para disparar.
Windows es diseñado con seguridad y estabilidad en mente. El núcleo (kernel) debe ser protegido de las aplicaciones de usuario, pero estas aplicaciones requieren cierta funcionalidad desde el kernel.
Para proveer esto Windows implementa dos modos de ejecución: modo usuario y modo kernel. Windows hoy solo soporta esos dos modos, aunque las CPU Intel y AMD soportan cuatro modos de privilegios o anillos en sus chips para proteger el codigo y datos del sistema de sobreescrituras maliciosas o inadvertidas por parte de código de menor privilegio.
Originalmente el término RootKit proviene de sistemas Unix y hacía referencia a pequeñas utilidades y herramientas que permitían acceso como "root" de esos sistemas.
El término ha evolucionado y actualmente es un conjunto de herramientas utilizadas en cualquier sistema para conseguir acceder ilícitamente al mismo. Generalmente se los utiliza para ocultar procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte del mismo.
Es importante remarcar que un Rootkit no es un Malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar los mismos, muchas veces se lo considera incorrectamente como programa dañino.
Actualmente, incluso son utilizados por ciertas empresas para controlar componentes del sistema y permitir o denegar su utilización. Hay que remarcar que el uso de estos programas es éticamente incorrecto (o incluso ilegal), ya que se hace sin la autorización expresa del usuario.

Metodología de Infección y Clasificación de Virus/Malware:

A continuación detallo los método de trabajo que poseen los virus informáticos más conocidos y difundidos en la actualidad, con el fin de que se conozca más en profundidad su funcionamiento, su modo de infección y sus objetivos, y de esta manera estar mejor preparado ante una posible infección del PC.

- Bombas Lógicas:
La particularidad más notoria de las bombas lógicas reside en que mientras no se cumplan ciertas condiciones, el virus no realizará ninguna acción destructiva, permaneciendo escondido al acecho de nuestros datos. Básicamente, una bomba lógica se compone de lineas de código insertadas dentro de otro programa, y tienen por finalidad destruir los datos de una computadora o causar otros importantes perjuicios.
Entre los daños que las bombas lógicas pueden causarnos la eliminación total de los contenidos de la unidad del disco rígido, o acciones tales como mostrar un mensaje, reproducir una canción o el envío de un correo electrónico sin nuestro consentimiento, entre otros.
Cabe destacar que su accionar puede llegar a ser extremadamente destructivo, ya que es uno de los más peligrosos de su tipo.

- Del tipo: Residente:
Como su nombre lo indica, esta clase de virus poseen la particularidad de poder ocultarse en sectores de la memoria RAM del equipo y residir allí, controlando cualquier operación de entrada o salida de datos que lleve a cabo el sistema operativo.
Su principal misión es la de infectar todos los archivos y programas que puedan ser llamados para su ejecución, ya sea para su copia, borrado o toda otra operación que pueda ser realizada con ellos.
Mientras permanecen ocultos en la RAM de nuestra computadora, yacen latentes a la espera de cualquier evento que haya sido programado por su desarrollador para comenzar con su ataque.
Esta reacción puede ser desencadenada, por ejemplo, al haberse cumplido un lapso de tiempo en una fecha u hora prevista.

Del tipo: Acción Directa:
La característica fundamental que define a los virus de tipo de Acción Directa es que no necesitan permanecer residentes en la memoria RAM de la computadora, ya que su método para comenzar con su ataque es esperar que se cumpla una determinada condición para activarse y poder replicarse y realizar la tarea para la cual fueron concebidos.
Para poder lograr su infección, esta clase de virus realiza una búsqueda de todos los archivos existentes en su directorio. Además poseen la particularidad de buscar en los directorios que se listan en la línea PATH del archivo Autoexec.bat.
Este tipo de virus poseen la particularidad de, tras una infección de archivos, estos ficheros pueden ser por completo restaurados, volviendo al estado anterior a su infección.

Del tipo: Sobreescritura:
Los virus del tipo de sobreescritura poseen la habilidad de destruir todo o parte del contenido de un archivo infectado por él, ya que cuando un fichero es infectado por el virus, este escribe datos dentro del mismo, dejando a este archivo total o parcialmente inútil.
Una característica que define a este tipo de virus informático, es que los archivos no aumentarán de tamaño en caso de una infección, esto es debido a que el virus oculta su código reemplazando parte del código propio del archivo infectado.
Este es uno de los virus más perjudiciales que circulan en la actualidad. Lamentablemente una de las pocas formas que existen de erradicar el virus, es eliminado el archivo infectado, con la consiguiente pérdida de los datos escritos en él.

- Del tipo: Booting o Arranque:
Como todos sabemos el sector de arranque o también conocido por MBR (Master Boot Record), es una zona del disco rígido donde reside el programa de carga para el inicio del sistema operativo.
La clase de virus que ataca el sector de arranque no infectarán archivos, sino que su misión principal es replicarse en cualquier otro disco rígido que se encuentre a su alcance.
Se trata de un virus del tipo residente, ya que cuando el mismo se encuentra activo en la memoria, uno de los aspectos más importantes al momento de determinar su existencia, es el notorio decaimiento de las cifras que arroja cualquier conteo de la memoria libre del sistema.
Sin embargo, el código del virus no incorpora ninguna clase de rutina perjudicial, salvo la propia replicación del mismo.

Del tipo: Macro:
El principal motivo de creación de estos virus es la de poder infectar a todos aquellos archivos que tengan la posibilidad de ejecutar macros.
Estas macros son pequeñas aplicaciones destinadas a facilitar la tarea del usuario mediante la automatización de ciertas y complejas operaciones que de otro modo serían demasiado tediosas de llevar a cabo.
Estos micro-programas, al contener código ejecutable, también son propensos.
El método de infección del cual hacen uso los virus de esta índole es simple, una vez cargado el archivo, estas macros se cargarán en memoria y el código se ejecutará produciéndose de esta forma la infección.
Cabe destacar que gran parte de estas aplicaciones cuentan con una protección incorporada para esta clase de amenazas, si bien no siempre es efectiva. Además lo cierto es que la mayoría de estos virus no pueden atacar a todas las aplicaciones por igual, debido a que su código está escrito para atacar a un programa en particular.
Los ejemplos más importantes de esta clase de ficheros son los documentos generados por Microsoft Word, cuya extensión es .doc y .docx, como así también los archivos de Microsoft Excel de extensión .xls y .xlsx, los ficheros de Microsoft Access con extensión .mdb, las presentaciones de Microsoft PowerPoint con extensión .pps, ppt, ppsx y pptx, también algunos ficheros realizados por CorelDraw .cdr entre otros.

- Del tipo: Enlace:
Este tipo de virus tiene la facultad de modificar las direcciones específicas de ubicación de programas y archivos para comenzar su infección, es decir, los lugares en donde el sistema operativo buscará estos programas o archivos para su ejecución.
El método de infección utilizado por este virus, como mencionamos, es alterar la ubicación de un determinado programa o fichero.
Al momento de que el sistema operativo o el usuario del mismo necesite ejecutar este programa o fichero infectado, lo que en realidad sucede es la ejecución del código malicioso que porta el virus, produciéndose de este modo la infección de cualquier programa con extensión .exe o .com.
Cabe destacar que cuando se produce una infección por virus de tipo de enlace, resulta prácticamente imposible la localización de los programas que han sido reemplazados por el accionar de los mismos.

- Del tipo: Encriptación:
Los desarrolladores de esta peculiar clase de virus utilizan el método de cifrado por encriptación para lograr el objetivo de no ser descubiertos por las exploraciones que realizan las aplicaciones antivirus.
Si bien no se trata estrictamente de un tipo de virus, es una denominación que se le otorga a cierta clase de técnica utilizada para el ocultamiento de los mismos.
Esta denominación también es extensible a virus de otras categorías, tales como los virus de tipo polifórmico.
Los virus de tipo de encriptación, tienen la capacidad de autoencriptarse, ocultándose de este modo a los intentos de los programas antivirus cuando realizan sus rutinas de escaneo del sistema.
Para cumplir con la misión encomendada por su programador, el virus de encriptación se autodesencriptará y una vez finalizada su tarea volverá a su anterior estado, es decir, se encriptará a sí mismo.
Para acometer con su infección, los virus encriptados incorporan a su código los algoritmos necesarios para su cifrado y descifrado, debido a que el cifrado es una técnica que necesita de una clave para encriptarlo y desencriptarlo, la cual obviamente no posee el usuario que ha sido infectado.
Cabe destacar que esta clase de virus sólo pueden ser descubiertos por los programas antivirus cuando se encuentran en ejecución.

- Del tipo: Polimórficos:
Los virus polimórficos, una técnica muy sofisticada y que demanda mucho conocimiento por parte del desarrollador, son aquellos que poseen la habilidad de encriptarse de un modo diferente y variable con cada nueva infección que realizan.
Su principal característica consiste en que con cada replicación, utilizan diferentes claves y algoritmos de encriptación, de modo que las cadenas que componen su código, una especie de firma para los sistemas antivirus, varían de tal forma que nunca lograrán concordar con las firmas existentes en las bases de datos que utilizan estos antivirus para su detección. Es decir, cada vez que se replican y encriptan van cambiando en forma secuencial. Cabe destacar que estos virus son los más difíciles de detectar y eliminar, ya que puede producir muchas y diferentes copias de sí mismo
Debido a la utilización de esta complicada técnica, estos virus son capaces de generar gran cantidad de copias de sí mismos, pero nunca iguales.

- Del tipo: Multipartite:
Podemos considerar, debido a los estudios y trabajos realizados por expertos en seguridad informática en todo el mundo, que este tipo de virus es actualmente uno de los más perjudiciales que cualquier usuario, tanto experto como novato, puede encontrar.
Estos virus deben su peligrosidad al hecho de que pueden realizar, mediante la utilización conjunta de diferentes técnicas y métodos de ataque, múltiples y variadas infecciones.
El objetivo principal de su existencia, es la posibilidad de destruir con su código a todos aquellos archivos y programas ejecutables que tenga la posibilidad de infectar.
Entre los blancos preferidos de esta clase de virus podemos citar archivos, programas y aplicaciones, las macros que incorporan suites de ofimática como Microsoft Office, discos rígidos, unidades de almacenamiento extraíbles como: pendrives, tarjetas de memoria de todo tipo, etc.
Cabe destacar que tras el ataque de un virus de tipo multipartite, los datos que contienen los elementos infectados serán imposibles de recuperar.

- Del tipo: Uniforme:
Son aquellos virus que pueden replicarse a sí mismos en forma idéntica.

- Del tipo: Stealth o furtivo:
Tienen la particularidad de poder ocultar al usuario los síntomas de la infección.

- Del tipo: Oligomórficos:
Estos poseen sólo una reducida cantidad de funciones de encriptación y pueden elegir en forma aleatoria cual de ellas puede utilizar.

- Del tipo: Metamórficos:
Son aquellos que poseen la singularidad de reconstruir todo su código cada vez que se replican. Es importante señalar que esta clase de virus no suele encontrarse más allá de los límites de los laboratorios de investigación de malwares.

Fuentes | Informatica-hoy, Segu-info, Infospyware, Wikipedia.

* Entradas relacionadas:
Guía completa de seguridad Anti-Malware y Anti-Spyware: harramientas, consejos y recomendaciones
Lista de: Firewalls gratuitos
Lista de: Antivirus/Malwares gratuitos
Los Metadatos y herramientas para examinarlos y testearlos

18 abril, 2010

Recuperar archivos eliminados o borrados de tu PC con: Restoration

- Había subido hace tiempo un post con una herramienta, File Scavenger, que también recupera archivos eliminados. Esta otra es similar, también se encarga de hacer lo mismo pero nunca está de más en saber varías aplicaciones para obtener un mismo resultado.

- Sabemos que cuando se elimina un archivo del disco duro nose elimina fisicamente, lo que el sistema hace es dejar libre ese sector del disco para que otro archivo se guarde en el lugar del archivo que se eliminó. Aunque esta herramienta sea más vieja que File Scavenger, y no tenga actualizaciones, sigue siendo muy utilizada por su facil manejo y efectividad.
- Cabe aclarar que a veces los archivos se hacen irrecuperables.

- Restaration, no requiere instalación, simplemente es un ejecutable, funciona como portable.
-  Si se utiliza Windows Vista o 7, ejecutar como administrador (Botón derecho del raton sobre el .exe --> "Ejecutar como administrador").
- Nota: las busquedas suelen tardar un poco, no siempre pero en ocasiones da la impresión de que el programa no responde o queda "congelado", lo cual comprobamos que no es asi, simplemente hay que darle tiempo ;)

- Es un programa totalmente gratuito pudiéndose descargar desde su sitio ofical.

* Descarga: Aquí

* Fuente | softonic.com

03 abril, 2010

Guía completa de seguridad Anti-Malware y Anti-Spyware: harramientas, consejos y recomendaciones

Esta es un guía con 6 útilies herramientas para intentar tener el sistema totalmente libre de cualquier tipo de malware. Recomiendo también para más información el blog y comunidad: infospyware.com, forospyware.com. En los cuales me ayudó a encontrar algunas de las herramientas Anti-Malware/Anti-Spyware que hago referencia en este artículo.

[1] - Utilizar AntiVirus/AntiMalwre:
Actualiza tu antivirus residente y realiza un análisis completo.
Si no tienes un antivirus instalado continua con los pasos siguientes, luego de finalizado el proceso considera instalar alguno. Por este blog hay un artículo en el cual recopilara una seria de antivirus:
Lista de: Antivirus/Antimalwares gratuitos.

[2] - Antivirus online u otro que no sea el residente en el sistema:
Por último debemos realizar un análisis online o desde otro antivirus que no sea el que tengamos instalado en el sistema, para obtener una segunda opinión y asegurarnos completamente de que la PC está limpia.
Para realizar analisis de ficheros en concretos y URLs de sitios web en los que podemos tener sospechas, podremos utilizar: virustotal.com. Este nos realiza un escaneo por diversos motores de antivirus/antimalwares y la final del proceso se muestra un informe de los resultados de cada uno de ellos.
Otra opción sería: Metascan-Online.com. Con el que podemos analizar ficheros Online en 18 antivirus a la vez. 
Un antivirus externo: NOD32 online de ESET es un antivirus online que, además de analizar el sistema elimina las amenazas encontradas. A continuación dejo unas listas (extraidas de elhacker.net) de diversos antivirus, anti-espías y analizadores de ficheros.


Antivirus Online:
http://www.pandasecurity.com/activescan/index/?track=1&Lang=es-ES&IdPais=62
http://www.eset-la.com/online-scanner
http://www.kaspersky.com/sp/virusscanner
http://www.bitdefender-es.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://housecall.trendmicro.com
http://us.mcafee.com/root/mfs/default.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://www.freedom.net/viruscenter/onlineviruscheck.html
(AntiSpyware) Anti-Espías Online
:
http://www.trendmicro.com/spyware-scan
http://www.sunbelt-software.com/dell/scan.cfm
http://www.spywareguide.com/txt_onlinescan.html
http://www.webroot.com/consumer/products/spysweeper/freescan.html
¿Saber si un fichero contiene ulgún tipo de malware?
http://www.virustotal.com
http://virscan.org
http://www.filterbit.com
http://virusscan.jotti.org
http://www.kaspersky.com/remoteviruschk.html
http://www.fortiguardcenter.com/antivirus/virus_scanner.html
Recuerda que la mayoría de los antivirus on-line necesitan Java:
http://www.java.com/es/download/manual.jsp

[3] - CD de Rescate:
También se puede hacer uso de un "CD de rescate" como el de F-Secure - Rescue CD, esta es una guía de Rescue CD (D-Secure)

[4] - Analizar e intentar desinfectar el PC con herramientas AntMalware/AntiSpyware:

[4.1] - RKill es una herramienta desarrollada por BleepingComputer que se encarga de detener los procesos de malwares conocidos y que, por lo general evitan que se puedan ejecutar herramientas Antivirus para desinfectar el sistema. Esta técnica de “autoprotección” por parte del malware es muy común en el Rogue Software (Falsos Antivirus).
RKill está "camuflado" como iExplorer.exe (podemos confiar en esta tool), para que el antivirus ya instalado en el equipo no lo malinterprete como un malware.
Después de ejecutarlo, se abrirá una Shell de Windows y se pondrá a escanear mostrándonos finalmente el resultado del log en una documento de texto (.txt). Cuando termine, se mostrará un archivo de registro que muestra los procesos que se dieron por terminados.
Rkill no elimina esos procesos maliciosos ni otra parte del malware, solo los detiene. Lo que es necesario parar para poder escanear (en el SafeMode - Modo a prueba de fallos) las siguientes tools antimalware.


[4.2] - Spybot - Search & Destroy:
- Herramienta con la que puedes descargar desde spybot.info. Instálalo, actualizalo y realiza un análisis. Este programa elimina diversas amenazas. Destacar, que los propietarios de este software, también ponen a disposición del usuario de manera gratuíta, otros tipos de software también interesantes para la seguridad y optimización del sistema, entre otras cosas.


[4.3] - Malwarebytes' Anti-Malware:
En una ocasión ya había hablado de malwarebytes. Este software elimina una gran variedad de programas maliciosos y también es muy recomendado para la eliminación de rogues o falsos antivirus. Lo puedes descargar desde malwarebytes.org. Instálalo, actualizalo y realiza un análisis rápido. El programa puede detectar y eliminar malware que otras herramientas de seguridad pasan por alto.


[4.4] - SUPERAntiSpyware Free edition:
Herramienta que analiza el sistema en busca de cualquier tipo de amenaza que pueda colarse en el PC, como puedan ser: spyware, dialers, troyanos, rootkits, gusanos, adware, malware, aplicaciones maliciosas, etc.
Cuenta también con una versión portable. Las versiones portables para este tipo de herramientas resultan cómodas y más seguras, ya que existen muchos tipos de malwares que lo que hacen es deshabilitar las herramientas de este tipo instaladas en el sistema cuando el malware se ejcuta, de este modo, si tenemos nuestra herramienta en dispositivo USB, por ejemplo, podremos realizar el escaneo en "modo a prueba de fallos" o modo a prueba de errores" (Importante_2) y si le sumamos que la aplicación que se está escaneando no la instalamos en el sistema si no que se ejecuta desde un device externo hacia el sistema, esto ayuda a proteger dicha aplicación en el la hora del escaneo y eliminación de malware.


[4.5] - Ad-Aware 2009 Free:
Herramienta gratuíta, diseñada para eliminar todo tipo de Spywares/Adwares, con total seguridad y garantía. Se actualiza casi semanalmente añadiendo remedio a cuanto nuevos Spyware detectados.


[4.6] - SpywareBlaster:
Herramienta para la prevención de ataques de spywares. No los elimina simplemente deshabilita los controles ActiveX de los mas conocidos spywares. Recomiendo por Spybot para inmunizar el sistema.


[4.7] - HijackThis:
Herramienta muy eficaz y de reducido tamaño. Puedes descargar HijackThis gratuitamente. Elimina spyware de sistemas Windows. Su uso requiere conocimientos avanzados para interpretar los 'log' que genera (archivo de texto que detalla todos los componentes detectados, buenos y malos). El log también puede ser analizado de forma automática, ideal para aquellos que quieren ahorrar tiempo interpretándolo o tienen dudas sobre qué borrar y qué no.
Aquí un post en este blog donde hablo un poco (guías y manuales) de HijackThis.
Para más información sobre como interpretar los logs de HiJackThis, podremos consultar el foro oficial de HiJackThis (en español por InfoSpyware.com) y aquí un pequeño videotutorial de su uso.


[4.8] - AdwCleaner:

Herramienta que nos permite buscar y eliminar: adware, barras de herramientas de los navegadores (toolbars), programas potencialmente no deseados o indeseables (PUP/LPI - 'Potentially Unwanted Program or undesirables'), y secuestradores de navegador como Hijackers, los cuales entre otras cosas, capturan la página de inicio de tu navegador y la cambian por otra de su interés.


[5] - Eliminar temporales y optimizar el registro:
Para eso podemos descargar y utilizar el programa gratuíto CCleaner. En la sección ''Limpiador'', elimina todos los archivos inútiles que encuentre y en la sección ''Registro'', busca y soluciona todos los problemas que encuentre. Las opciones configuradas por defecto en el programa están bien por lo que no deberás hacer nada más. Y si ya queremos disponer de configuraciones más avanzadas, entonces: Glary Utilities.



[6] - Seguridad y privacidad en la nevagación web:
Si utilizamos los navegadores más mas populares de hoy en día, como pueden ser: Internet Explorer, Mozilla Firefox, Google Chrome, Opera y Safari, en cada uno de ellos tendremos un apartado de "Opciones" en la que podremos configurar parámetros de los que iré mencionando, para coseguir intentar estar un poco más seguros cuando se navega por la red de internet y de este modo no estar tan expuestos a ataques de tecnología informática. Estos son algunos consejos personales que recomiendo:

Desactivar o deshabilitar:

  • Recordar historial.
  • No recordar nada en la barra de direcciones.
  • No recordar credenciales en formularios de registro, así como no proporcionar datos personales en el perfil de usuario del sistema.
  • Bloquear ventanas emergentes (pop-up).
  • Advertir cuando un sitio web desea instalar un complemento (podremos añadir excepciones si confiamos el sitio web).
  • Bloquear sitios reportados como atacantes y falsificados.
  • Intentar usar en la medida de que la website lo permita, protocolos criptográficos para la encriptación o cifrado de la comunicación de datos en red, como son: SSL (Secure Sockets Layer) y TLS (Transport Layer Security).
Para este último caso, podremos hacer utilidad e instalar los complementos que nos ofrecen para los navegadores web, en especial y más populares complementos para Mozilla Firefox y Google Chrome, con estos permitiremos (siempre que la página web lo permita) una redirección del protocolo HTTP (Hypertext Transfer Protocol) a HTTPS (Hypertext Transfer Protocol Secure), como son: HTTPS Finder, Force-TLS, HTTPS Everywhere (estos para Firefox), KB SSL Enforcer (este último para Chrome).

Sobre los complementos: HTTPS Everywhere y HTTPS Finder, ya había hablado en este blog sobre ellos.
Con estos complementos la comunicación se cifra por medios de estos protocólos, solo entre el usuario que realiza la petición a la website y el servidor de la misma, es decir, que nadie que este esnifando o escuchando tráfico puede ver los datos. Estos nos ayudará a prevenirnos de ataques con el complemento (seguro ya conocido por algunos): Firesheep, ya se hablara en este blog del complemento Firesheep.

Si somos usuarios de Mozilla Firefox, podemos protegernos utilizando NoScript, popular complemento o addon para Firefox el cual muchos consultores de seguridad web lo aconsejan. Y el cual, en este blog ya había hablado sobre la importancia de NoScript.

[7] - Evitar al menos el 70% de posibilidades de infectarse, con mensajes de correos electrónicos:
La mayoría de malwares de todo tipo suelen ejecutarse donde más usuarios (víctimas) a las infectar, como puede ser:
- Redes Sociales.
- Sitios webs fraudulentos.
- Redes P2P (descargas con regalo).
- Dispositivos USB/CDs/DVDs infectados.
- Sitios webs legítimos pero infectados.
- Adjuntos en Correos no solicitados (Spam).

- Podemos evitar:
> No caer en engaños de ingeniera social.
> Revisar nuestro e-mail y confiar de quién lo recibimos, aunque confiemos si el email parece sospechoso... o que no es apropiado recibirlo de ese contacto, NO abrir ningún enlace. Eliminarlo y borrarlo de la papelera. Si por algún razón fuese un mensaje no malicioso y realmente nos lo mandaría dicho contacto, si es importante lo volverá mandar. ;-)
> Si ejecutamos enlaces o hipervículos, nunca hacerlo desde el propio mensaje de correo. Copiar el contenido del enlace y pegarlo en una nueva pestaña o ventana del navegador web que utilicemos. Si se trata de un enlace acortado, nos posicionarémos con el puntero del mouse encima del hipervículo y la esquina inferior (derecha o izquierda, dependiendo del navegedor web que usemos) verémos a donde se redirige dicho link.
> Cuidado! con las cadenas de correos, diapositivas ".pps", videos, y ficheros adjuntos comprimidos. Direcctamente aconsejo ya ni abrir este tipo de mensajes de correo, excepto el de archivos adjuntos pero tendremos que estar seguros de que se trata de algo de confianza y que estamos avisados de que lo vamos a recibir ya que se trate de algo importante, y que no se trate de más pps, videos o audios..., ya que algunos malwares (y cada vez más sofisticados) entran de manera oculta o incrustados ocultamente dentro de los propios formatos.


También está el SPAM (SPiced Ham - Jamón Espaciado) ese correo no deseado y las interminábles y agobiantes "cadenas" (Hoax)

Las recomendaciones para evitar el SPAM son las siguientes:
  1. No enviar mensajes en cadena ya que los mismos generalmente son algún tipo de engaño (hoax).
  2. Si aún así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los demás destinatarios.
  3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc. ya que sólo facilita la obtención de las mismas a los spammers (personas que envían spam).
  4. Si se desea navegar o registrarse en sitios de baja confianza hágalo con cuentas de emails destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad: protegemos nuestra dirección de email mientras podemos publicar otra cuenta y administrar ambas desde el mismo lugar.
  5. Para el mismo fin también es recomendable utilizar cuentas de correo temporales y descartables como las mencionadas al pie del presente.
  6. Nunca responder este tipo de mensajes ya que con esto sólo estamos confirmando nuestra dirección de mail y sólo lograremos recibir más correo basura.
  7. Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.
Algunos filtros heurísticos de correo funcionan efectivamente previniendo gran cantidad de SPAM, pero ninguno funciona lo suficientemente bien como para olvidarnos de estos simples consejos que, utilizados correctamente, nos ayudará a recibir menos correo no deseado. Otra característica negativa de los filtros es que algunos funcionan tan sensiblemente que terminan filtrando a la carpeta de correo de spam o no deseado el correo normal o que realemente nos interesa. Pero para ello grandes compañías como Gmail, Hotmail o Yahoo trabajan a diario para mejorar estos filtros.

Evitar el Spyware:
Spyware o Software Espía son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Las recomendaciones para evitar la instalación de este tipo de software son las siguientes:
  1. Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de dudosa reputación.
  2. Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones. Generalmente incluyen puntos como "recolectamos la siguiente información del usuario" o "los daños que causa la aplicación no es nuestra responsabilidad" o "al instalar esta aplicación ud. autoriza que entreguemos sus datos a...".
  3. Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se instalan sobre el explorador.
  4. Actualmente, se nota una importante aparición de aplicaciones que simulan ser software anti-spyware que en realidad contiene spyware. Una lista de los mismos puede ser encontrada en la dirección que se detalla al pie del presente.
  5. Cuando una aplicación intente instalarse sin que ud. lo haya solicitado, desconfíe y verifique la lista anterior.
  6. Es común que los sitios dedicados al underground o pornográficos, contengan un alto contenido de programas dañinos que explotando diversas vulnerabilidades del sistema operativo o del explorador, le permiten instalarse.
  7. Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso del PC lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos necesarios para realizar sus tareas y no estar logeado como root del sistema. Ya que esto disminuye el campo de acción de un posible intruso (virus, backdoor, usuario no autorizado, etc.).
  8. Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su instalación.

[8] - Actualizaciones, Firewall y Software de gestión de descarga:
> Tener descargadas e instaladas las actualizaciones de seguridad de Microsoft Windows Update, en el caso de utilizar OS Windows, leerlas y ver en que consistirá la actualización y así decidir si nos interesa o no, ya que algunas de las actualizaciones (aunque pocas) son para detectar malware malintencionado el cual activamos OS Windows en el caso de ser una versión ilegal o pirata.
> Activar simpre el Firewall de Windows, en el caso de Windows XP -> ICF (Internet Configuration Firewall) y en el caso de Windows 7 -> WFAS (Windows Firewall Advanced Security). En su defecto podremos  utilizar un Firewall de terceros. En este blog se puede encontrar una recopilación de Firewalls:
Esta es una lista de los Firewalls más conocidos y populares de este año 2011.
Todos los Firewall tienen la misma finalidad, unos hacen lo mismo de una manera y otros de otra. Pero la función de un Firewall al fin y al cabo es simplemente y dicho a groso modo, sería: "Permitir y denegar acceso de aplicaciones u otros (mediante puertos) al equipo local". Los Firewalls desempeñan un papel importante en la seguridad del sistema, por eso, tendremos que tener la configuración adecuada a nuestras necesidades y solo permitir el tráfico en el que confiemos.
El Firewall de Windows 7 (más robusto que el Windows XP) bien configurado es suficientemente potente y seguro. Según el tipo de red que uno eliga, se configurará a modos de niveles de seguridad, a uso personal. E una red empresarial se utlizan otro tipo de políticas de seguridad mucho más redundantes. En el firewall, podremos hacer excepciones de ciertas aplicaciones que necesiten salir al exterior de nuestra red de área local y entonces dejaremos que la aplicación (o hacerlo manualmente) nos abra dichos puertos necesarios.
> Intentar no usar software de descarga P2P (Peer to Peer), ya que muchos de los malwares entran por este tipo de descargas de conexiones compartidas, y con más razón si se trata de herramientas soft-warez, un poco más seguro sería hacerlo de forma directa (dije un "poco más", no total seguridad, ni mucho menos. Ya que en ficheros de descarga directa pueden estar incrustados los malwares). O con un gestor de contenidos de descarga directa de internet (Jdownloader) y por supuesto revisar las descargas con un antivirus/antimalware o alguno online.

* Importante 1: Recuerda que en estos análisis es recomendado desactivar temporalmente la opción "Restaurar sistema" (pasos aquí) ya que podría existir una copia de seguridad de algún malware que infectó archivos del sistema, al desactivar esta opción se eliminarán todos los puntos de restauración. Como el antivirus online analiza todos los archivos incluyendo estas copias de seguridad, en caso de existir una copia de algún archivo infectado el antivirus online lo detectará mientras que un análisis del antivirus residente no.
Desactivando temporalmente "Restaurar sistema" se evita este problema, se eliminan posibles malwares respaldados y podremos estar seguros de que las amenazas detectadas están activas en el sistema.

* Importante 2: Para obtener mejores resultados, es recomendable y se debería escanear y utilizar las herramientas mencionadas anteriormente en "modo a prueba de fallos o modo a prueba de errores" (Safe mode), para ello, presionar varias veces la tecla de función 8 -> F8 al inciar el PC, durante el POST (Power On Shell Test), para acceder al menú de opciones avanzas de Windows, y ahí escoger la opción mencionada anteriormente.
La razón de analizar el equipo en el Safe Mode, es por que en este modo el PC emplea los mínimos recursos, controladores, servicios y procesos utilizados por las aplicaciones que se ejecutan en el inicio del sistema operativo. De este modo, si estamos infectados por algún tipo de malware/spyware que se carga en el inicio del sistema, este no se cargaría (aunque esto también depende de la sofisticación del malware/spyware), y así es mas fácil la eliminación de este ya que si se estuviese ejecutando (algún proceso utilizado por el malware o proceso de alguna aplicación que a su vez es utiliza por un huesped = el malware) seguramente nos bloquearía su eliminación ya que estaría en uso y no lo podríamos proceder a la eliminación, se duplicaría en otros paths, etc.

Todos estos procesos requiere su tiempo...
Pero con estos procedimientos se puede estar más seguro y libre completamente de malware y spyware...?.
Completamente, no. La seguridad es muy amplia y los desarroladores de software maliciosos siempre está diseñando nuevas modalidades de ataques y nuevos tipos de software cada vez más sofisticados. Los cuales por mucho que se actualize el antivirus... nunca estarémos 100% seguros. Pero como ya dije, con todos estos pasos conseguiremos estar mucho más seguros.

Todos los puntos mencionados, son importantes a la hora de realizar un testeo en el PC, para la comprobación de algún tipo de malware, pero en especial el punto 4.7 (HijackThis), particularmente me gusta y está muy interesante ya que, este nos muestra un informe claro y detallado de los contenidos ficheros/carpetas, procesos, servicios, etc. del sistema. Y a veces podemos encontrarnos con detalles interesantes. Y también muy importante, los puntos 7 y 8.

Podría seguir nombrando muchos más consejos, pero para que extenderme más. Lo más importante es tener claro que nunca se está del 100% seguro en la red y menos si descargamos soft-warez de sitios un poco lúgubres. Siempre aconsejo, ser muy cuidadosos con las acciones que hagamos en internet, saber por donde navegamos y que descargamos. Y un poco de "sentido común".

* Entradas relacionadas:
Lista de: Antivirus/Antimalwares gratuitos
Lista de: Firewalls gratuitos
Tipos de Malware/Badware y Clasificación de Virus Informáticos
Entradas Relacionadas