SlideShare una empresa de Scribd logo

Seguridad malware eliminación

G
garciadebora
1 de 10
Descargar para leer sin conexión
SEGURIDAD TRIMESTRE 1 2ºASIR Débora García García
Seguridad Trimestre 1 Débora García García Índice OBJETIVOS ................................................................................................................................ 2 Introducción ............................................................................................................................. 3 Analizando nuestro sistema .................................................................................................. 4 Análisis, detección y eliminación real (práctica) ......................................................................... 5 Análisis.................................................................................................................................. 6 Detección .............................................................................................................................. 6 Eliminación ........................................................................................................................... 8 Cerrando los procesos ....................................................................................................... 8 Eliminando las claves......................................................................................................... 8 Eliminando los archivos ..................................................................................................... 8 Reinicio del SO y comprobación......................................................................................... 9 1
Seguridad Trimestre 1 Débora García García OBJETIVOS Ten en cuenta el enunciado y tras infectar tu sistema con el malware, intenta eliminarlo. El archivo para realizar la práctica es un malware que no realiza ningún tipo de daños en el ordenador. Simplemente se copia y se ejecuta en cada reinicio enseñando un cartel avisando de la infección. Para usarlo se recomienda desactivar el antivirus. Una vez ejecuten el archivo de la práctica, reinicien el ordenador, sino el virus no podrá copiarse. Además así al reiniciar verán los síntomas de la infección que es un cartelito informativo. http://foro.elhacker.net/seguridad/proyecto_talleres_practicos_sobre_seguridad_informa tica_orientada_al_malware-t327010.0.html;msg1612522#msg1612522 2
Seguridad Trimestre 1 Débora García García Introducción Lo primero que haremos será desactivar nuestro antivirus del sistema operativo y para asegurarnos más aun también el firewall, aunque el software malicioso con el que vamos a practicar es inofensivo, aun así he optado por trabajar desde una máquina virtual. Por lo general, el malware tiene tres acciones indispensables para asegurar su integridad en un sistema, estas son la de ejecutarse, copiarse y auto ejecutarse en cada inicio del sistema. Las rutas típicas donde se copia el malware son las siguientes (no por eso las únicas).  C:  C:Windows  C:WindowsSystem32 El segundo paso, una vez ejecutado y copiado un malware creará una clave en el registro de Windows. El registro de Windows no deja de ser un software que tiene el propio Windows donde residirá una gran información sobre el sistema así como gran parte de la configuración de este. Para acceder al registro de Windows, simplemente deberán ir a INICIO y presionar en EJECUTAR, allí escriben “regedit” y al apretar se les abrirá el registro de Windows y verán las distintas claves y subclaves que lo conforman. Para que un ejecutable se auto-inicie con el sistema operativo creará una clave en las siguientes rutas:  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce 3
Seguridad Trimestre 1 Débora García García En este caso está vacío porque es una máquina recién instalada y limpia. Para poder visualizar los procesos activos en un sistema, utilizaremos el administrador de sistema o también conocido como taskmanager. Para ejecutar el taskmanager solo deberemos presionar las teclas CNTRL+ALT+SUPR donde se abrirá una pequeña pantalla con una pestaña con los procesos en ejecución. Pero esto sólo nos sirve para cerrar los procesos. Es importante, entender por qué hace falta cerrar un proceso, la explicación es sencilla y es porque el propio sistema no nos permite eliminar un archivo ejecutándose con un proceso abierto. Cada ejecutable tendrá su propio proceso. Analizando nuestro sistema Para ello utilizaremos una herramienta muy sencilla y practica que nos generará un resumen en un archivo de texto sobre los procesos y archivos que se ejecutan en el sistema. Posteriormente utilizaremos una herramienta online para analizar el log generado, aunque con un poco de experiencia y conocimiento cuando se adquiere más experiencia es sencillo simplemente con el log localizar malware. La herramienta se llama hijackthis, es gratuita y la podrán encontrar en el siguiente enlace: http://free.antivirus.com/hijackthis/ Simplemente deberán seleccionar un análisis del sistema con la opción de crear un log. Esto generará un archivo de texto el que guardaremos en nuestro ordenador para posteriormente analizarlo. Una vez tengamos el log, simplemente utilizaremos uno de los servicios gratuitos online que permite hacer una lectura de éste y mostrarnos las claves correctas o que pueden ser intrusivas. Hay veces que una clave la muestra como no segura aunque puede ser que no esté en la base de datos y por eso no la reconoce, no quiere decir que todo lo que no indica como seguro deba ser un malware. 4
Seguridad Trimestre 1 Débora García García Para realizar el análisis de estos archivos podremos utilizar los siguientes servicios online gratuitos. www.hijackthis.de http://hjt.networktechs.com/ El uso de estos servicios es muy sencillo, simplemente suban el archivo de texto o copien el contenido en la pantalla que hay en la web, una vez hecho tendrán unos resultados parecidos a la siguiente imagen. Como pueden ver en la imagen, toda la lista aparece con una marca verde, eso quiere decir que los procesos y archivos son correctos, en caso de aparecer con un aspa amarilla es que son desconocidos y en el caso de que tengan un aspa roja es que lo más probable es que sea algún tipo de malware. Análisis, detección y eliminación real (práctica) Lo primero que vamos hacer es descargar e instalar nuestro archivo malicioso en el sistema, previamente debemos de quitar el antivirus y si queremos también el firewall para asegurarnos mejor de que todo vaya a salir a la primera. Descarga e instala también el software de hijackthis y ten localizadas las páginas con las que vamos a trabajar, todo esto está comentado anteriormente. Ahora reiniciaremos el sistema operativo para que se infeste. 5
Seguridad Trimestre 1 Débora García García Análisis Una vez que nos salga el cartelito, es que ya tenemos el sistema infestado y ahora ejecutaremos hijackthis para que nos cree el log, lo guardamos para luego poder analizarlo en las páginas oportunas. Detección Nos vamos a la primera página: Introducimos el archivo log que queremos examinar. 6
Seguridad Trimestre 1 Débora García García Con la opción de poner la ruta del archivo no ha salido, pero no te preocupes, copia el contenido del archivo log en el cuadro de texto y dale a analizar, también se puede hacer de esa forma. Una vez analizado observamos que todo sale en verde menos dos entradas: También lo podemos hacer desde la segunda página, copiando de nuevo el contenido del archivo log y dale después a parse, ahora vemos los errores en rojo: 7
Seguridad Trimestre 1 Débora García García Eliminación Para la eliminación seguiremos el siguiente orden.  Cerrar el proceso o procesos del ejecutable o ejecutables.  Eliminar el archivo o archivos.  Eliminar la clave o claves del registro de Windows.  Reiniciar el ordenador y comprobar. Cerrando los procesos Primero de todo, cerraremos el proceso creado por el virus, para ello presionamos CNTRL+ALT+SUPR y vamos a la pestaña de “procesos” del administrador de tareas. Para finalizarlo, simplemente haciendo un click sobre el nombre del proceso y luego a “Finalizar proceso” se cerrará el proceso y tendremos vía libre para borrar el archivo sin problemas. Eliminando los archivos Ahora el siguiente paso es localizar el archivo y eliminarlo, para ello la ruta donde se ubica recordemos que es: C:WINDOWSSystem32svohost.exe Eliminando las claves Por último, para dejar el ordenador limpio es importante eliminar la clave del registro, en caso de no hacerlo no pasará absolutamente nada, pero para mantener nuestro ordenador y el registro de Windows más limpio se recomienda hacer el borrado. Para ello, podemos utilizar algún tipo de software que nos permita limpiar el registro de claves innecesarias, en este caso contamos con una herramienta llamada CCleaner, la podrán descargar del siguiente enlace. http://www.ccleaner.com/ No obstante, frente a la alternativa de utilizar CCleaner u otro programa similar, como solamente hay una clave en el registro a eliminar, se puede proceder a la eliminación de forma manual mediante el registro de Windows, ya que su localización no es complicada. Para ello vamos a inicio y en la pestaña de ejecutar o en buscar, según sistema operativo escribimos REGEDIT. Al aceptar se nos abrirá el registro de Windows. En el registro de Windows, simplemente se deberá localizar la siguiente clave y borrarla. O4 - HKLM..Run: [Soundman] svohost.EXE 8
Seguridad Trimestre 1 Débora García García Reinicio del SO y comprobación Una vez llegados a este punto, aparentemente el malware estará eliminado del equipo. De todas formas, es muy importante asegurar que no queda ningún indicio de este, para ello reiniciaremos el ordenador y comprobaremos que no existen los archivos maliciosos y las rutas del registro de Windows. A veces ocurre, que al reiniciar vuelven a aparecer los archivos y claves del registro de Windows, en este caso suele pasar que hay más de un ejecutable del malware activo en el ordenador y al reiniciar vuelve a crear las copias. En caso de que en el log del hijackthis no aparezca nada más que nos pueda hacer sospechar, podría darse el caso de que el malware tuviera función de rootkit, es decir que se ejecutara bajo un proceso de un archivo del sistema por ejemplo y no se haya detectado. 9

Recomendados

Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresLibardo Galvis
 
Práctica 4: Registro y configuración inicio de Windows
Práctica 4: Registro y configuración inicio de WindowsPráctica 4: Registro y configuración inicio de Windows
Práctica 4: Registro y configuración inicio de Windowsjosemafe7
 
[ES] Manejo de datos y excepciones
[ES] Manejo de datos y excepciones[ES] Manejo de datos y excepciones
[ES] Manejo de datos y excepcionesEudris Cabrera
 
Algoritmos software
Algoritmos softwareAlgoritmos software
Algoritmos softwareRekenaarOnderhoud
 
Practica de hadward
Practica de hadwardPractica de hadward
Practica de hadwardMark Anthony Malue
 
trabajo informatica sena
trabajo informatica sena trabajo informatica sena
trabajo informatica sena Natali Molina
 
[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalación
[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalación[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalación
[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalaciónIvan Dragogear
 
Practica 1 Conociendo el SO
Practica 1 Conociendo el SOPractica 1 Conociendo el SO
Practica 1 Conociendo el SOArana Paker
 

Recomendados

Aplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresAplicaciones y herramientas para computadores
Aplicaciones y herramientas para computadoresLibardo Galvis
 
Práctica 4: Registro y configuración inicio de Windows
Práctica 4: Registro y configuración inicio de WindowsPráctica 4: Registro y configuración inicio de Windows
Práctica 4: Registro y configuración inicio de Windowsjosemafe7
 
[ES] Manejo de datos y excepciones
[ES] Manejo de datos y excepciones[ES] Manejo de datos y excepciones
[ES] Manejo de datos y excepcionesEudris Cabrera
 
Algoritmos software
Algoritmos softwareAlgoritmos software
Algoritmos softwareRekenaarOnderhoud
 
Practica de hadward
Practica de hadwardPractica de hadward
Practica de hadwardMark Anthony Malue
 
trabajo informatica sena
trabajo informatica sena trabajo informatica sena
trabajo informatica sena Natali Molina
 
[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalación
[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalación[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalación
[..Tuto..] Pgs4a-0.9.4 en Ubuntu 12.04 precise instalaciónIvan Dragogear
 
Practica 1 Conociendo el SO
Practica 1 Conociendo el SOPractica 1 Conociendo el SO
Practica 1 Conociendo el SOArana Paker
 
Manual jdk
Manual jdkManual jdk
Manual jdkChristopher De leon
 
Lab configure a windows xp firewall (1)
Lab configure a windows xp firewall (1)Lab configure a windows xp firewall (1)
Lab configure a windows xp firewall (1)Arana Paker
 
Reporte de instalacion de programas
Reporte de instalacion de programasReporte de instalacion de programas
Reporte de instalacion de programasRoshio Vaxquez
 
Manual
Manual Manual
Manual SpecialComputer289
 
10.3.1.8 lab configure a windows 7 firewall
10.3.1.8 lab configure a windows 7 firewall10.3.1.8 lab configure a windows 7 firewall
10.3.1.8 lab configure a windows 7 firewallArana Paker
 
Manual de procedimiento
Manual de procedimientoManual de procedimiento
Manual de procedimientoSpecialComputer289
 
Manual copia
Manual copiaManual copia
Manual copiaSpecialComputer289
 
Guia instalacionpctoolsv3
Guia instalacionpctoolsv3Guia instalacionpctoolsv3
Guia instalacionpctoolsv3juanitaalba
 
Manual copia
Manual copiaManual copia
Manual copiaSpecialComputer289
 
Guia de Instalación, Configuracion y uso de Malwarebytes
Guia de Instalación, Configuracion y uso de MalwarebytesGuia de Instalación, Configuracion y uso de Malwarebytes
Guia de Instalación, Configuracion y uso de MalwarebytesCentro Guadalinfo de Sierra de Yeguas
 
Como sustituir y reparar archivos dañados de windows
Como sustituir y reparar archivos dañados de windowsComo sustituir y reparar archivos dañados de windows
Como sustituir y reparar archivos dañados de windowsclaudiapatri2013
 
Errores de programacion
Errores de programacionErrores de programacion
Errores de programacionmostachogl0
 
¿Cómo activar un producto ESET?
¿Cómo activar un producto ESET?¿Cómo activar un producto ESET?
¿Cómo activar un producto ESET?ESET Latinoamérica
 
Manual
Manual Manual
Manual SpecialComputer289
 
Df correctivo de software
Df correctivo de softwareDf correctivo de software
Df correctivo de softwarepcservicecorporation
 
Pruebas software con junit ..
Pruebas software con junit ..Pruebas software con junit ..
Pruebas software con junit ..siticfje
 
Herramientas
HerramientasHerramientas
Herramientasxhash
 
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...reijimher
 
Manual de Procedimientos de Soporte Técnico
Manual de Procedimientos de Soporte Técnico Manual de Procedimientos de Soporte Técnico
Manual de Procedimientos de Soporte Técnico Nestor Ramirez Najera
 
Diagramas de software
Diagramas de softwareDiagramas de software
Diagramas de softwareEvelyn Miguel Urias
 
Eliminar virus
Eliminar virusEliminar virus
Eliminar virusmanolo0164
 
Quitar Zorab2 Ransomware
Quitar Zorab2 RansomwareQuitar Zorab2 Ransomware
Quitar Zorab2 RansomwareMarkRutherford10
 

Más contenido relacionado

La actualidad más candente

Lab configure a windows xp firewall (1)
Lab configure a windows xp firewall (1)Lab configure a windows xp firewall (1)
Lab configure a windows xp firewall (1)Arana Paker
 
Reporte de instalacion de programas
Reporte de instalacion de programasReporte de instalacion de programas
Reporte de instalacion de programasRoshio Vaxquez
 
10.3.1.8 lab configure a windows 7 firewall
10.3.1.8 lab configure a windows 7 firewall10.3.1.8 lab configure a windows 7 firewall
10.3.1.8 lab configure a windows 7 firewallArana Paker
 
Guia instalacionpctoolsv3
Guia instalacionpctoolsv3Guia instalacionpctoolsv3
Guia instalacionpctoolsv3juanitaalba
 
Como sustituir y reparar archivos dañados de windows
Como sustituir y reparar archivos dañados de windowsComo sustituir y reparar archivos dañados de windows
Como sustituir y reparar archivos dañados de windowsclaudiapatri2013
 
Errores de programacion
Errores de programacionErrores de programacion
Errores de programacionmostachogl0
 
¿Cómo activar un producto ESET?
¿Cómo activar un producto ESET?¿Cómo activar un producto ESET?
¿Cómo activar un producto ESET?ESET Latinoamérica
 
Pruebas software con junit ..
Pruebas software con junit ..Pruebas software con junit ..
Pruebas software con junit ..siticfje
 
Herramientas
HerramientasHerramientas
Herramientasxhash
 
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...reijimher
 
Manual de Procedimientos de Soporte Técnico
Manual de Procedimientos de Soporte Técnico Manual de Procedimientos de Soporte Técnico
Manual de Procedimientos de Soporte Técnico Nestor Ramirez Najera
 

La actualidad más candente (20)

Manual jdk
Manual jdkManual jdk
Manual jdk
 
Lab configure a windows xp firewall (1)
Lab configure a windows xp firewall (1)Lab configure a windows xp firewall (1)
Lab configure a windows xp firewall (1)
 
Reporte de instalacion de programas
Reporte de instalacion de programasReporte de instalacion de programas
Reporte de instalacion de programas
 
Manual
Manual Manual
Manual
 
10.3.1.8 lab configure a windows 7 firewall
10.3.1.8 lab configure a windows 7 firewall10.3.1.8 lab configure a windows 7 firewall
10.3.1.8 lab configure a windows 7 firewall
 
Manual de procedimiento
Manual de procedimientoManual de procedimiento
Manual de procedimiento
 
Manual copia
Manual copiaManual copia
Manual copia
 
Guia instalacionpctoolsv3
Guia instalacionpctoolsv3Guia instalacionpctoolsv3
Guia instalacionpctoolsv3
 
Manual copia
Manual copiaManual copia
Manual copia
 
Guia de Instalación, Configuracion y uso de Malwarebytes
Guia de Instalación, Configuracion y uso de MalwarebytesGuia de Instalación, Configuracion y uso de Malwarebytes
Guia de Instalación, Configuracion y uso de Malwarebytes
 
Como sustituir y reparar archivos dañados de windows
Como sustituir y reparar archivos dañados de windowsComo sustituir y reparar archivos dañados de windows
Como sustituir y reparar archivos dañados de windows
 
Errores de programacion
Errores de programacionErrores de programacion
Errores de programacion
 
¿Cómo activar un producto ESET?
¿Cómo activar un producto ESET?¿Cómo activar un producto ESET?
¿Cómo activar un producto ESET?
 
Manual
Manual Manual
Manual
 
Df correctivo de software
Df correctivo de softwareDf correctivo de software
Df correctivo de software
 
Pruebas software con junit ..
Pruebas software con junit ..Pruebas software con junit ..
Pruebas software con junit ..
 
Herramientas
HerramientasHerramientas
Herramientas
 
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...
Deshacerse de hacktool win64 autokms de windows 10 _ eliminar la malicioso so...
 
Manual de Procedimientos de Soporte Técnico
Manual de Procedimientos de Soporte Técnico Manual de Procedimientos de Soporte Técnico
Manual de Procedimientos de Soporte Técnico
 
Diagramas de software
Diagramas de softwareDiagramas de software
Diagramas de software
 

Similar a Seguridad malware eliminación

Eliminar virus
Eliminar virusEliminar virus
Eliminar virusmanolo0164
 
Sistema de registro de windows
Sistema de registro de windowsSistema de registro de windows
Sistema de registro de windowsRosariio92
 
Quitar OutCrypt Ransomware
Quitar OutCrypt RansomwareQuitar OutCrypt Ransomware
Quitar OutCrypt RansomwareMarkRutherford10
 
Manual de mantenimiento correctivo a hardware y software
Manual de mantenimiento correctivo a hardware y softwareManual de mantenimiento correctivo a hardware y software
Manual de mantenimiento correctivo a hardware y software326B
 
Ayuda y soporte técnico todo
Ayuda y soporte técnico todoAyuda y soporte técnico todo
Ayuda y soporte técnico todoMiguel
 
1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdf1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdfSebastianM1ch43l15
 
Quitar Nefartanulo Ransomware
Quitar Nefartanulo RansomwareQuitar Nefartanulo Ransomware
Quitar Nefartanulo RansomwareMarkRutherford10
 
Diferenciar las funciones del sistema operativo
Diferenciar las funciones del sistema operativoDiferenciar las funciones del sistema operativo
Diferenciar las funciones del sistema operativomosterhitler
 
Actividad 9 practica 3
Actividad 9 practica 3Actividad 9 practica 3
Actividad 9 practica 3Gael Rojas
 
Guia para borrar spam
Guia para borrar spamGuia para borrar spam
Guia para borrar spamjuanjjma
 
ccleaner trabajo sena
ccleaner trabajo sena ccleaner trabajo sena
ccleaner trabajo sena Natali Molina
 

Similar a Seguridad malware eliminación (20)

Eliminar virus
Eliminar virusEliminar virus
Eliminar virus
 
Quitar Zorab2 Ransomware
Quitar Zorab2 RansomwareQuitar Zorab2 Ransomware
Quitar Zorab2 Ransomware
 
Sistema de registro de windows
Sistema de registro de windowsSistema de registro de windows
Sistema de registro de windows
 
Quitar MH24 Ransomware
Quitar MH24 RansomwareQuitar MH24 Ransomware
Quitar MH24 Ransomware
 
Quitar OutCrypt Ransomware
Quitar OutCrypt RansomwareQuitar OutCrypt Ransomware
Quitar OutCrypt Ransomware
 
Manual de mantenimiento correctivo a hardware y software
Manual de mantenimiento correctivo a hardware y softwareManual de mantenimiento correctivo a hardware y software
Manual de mantenimiento correctivo a hardware y software
 
Alvis
AlvisAlvis
Alvis
 
Elvisy and
Elvisy andElvisy and
Elvisy and
 
Ayuda y soporte técnico todo
Ayuda y soporte técnico todoAyuda y soporte técnico todo
Ayuda y soporte técnico todo
 
1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdf1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdf
 
Quitar Nefartanulo Ransomware
Quitar Nefartanulo RansomwareQuitar Nefartanulo Ransomware
Quitar Nefartanulo Ransomware
 
Diferenciar las funciones del sistema operativo
Diferenciar las funciones del sistema operativoDiferenciar las funciones del sistema operativo
Diferenciar las funciones del sistema operativo
 
Actividad 9 practica 3
Actividad 9 practica 3Actividad 9 practica 3
Actividad 9 practica 3
 
Karen
KarenKaren
Karen
 
Karen
KarenKaren
Karen
 
Karen
KarenKaren
Karen
 
Guia para borrar spam
Guia para borrar spamGuia para borrar spam
Guia para borrar spam
 
ccleaner trabajo sena
ccleaner trabajo sena ccleaner trabajo sena
ccleaner trabajo sena
 
Manual de mantenimiento
Manual de mantenimientoManual de mantenimiento
Manual de mantenimiento
 
Practica4 iso
Practica4 isoPractica4 iso
Practica4 iso
 

Más de garciadebora

Aso t2 practica_crontab
Aso t2 practica_crontabAso t2 practica_crontab
Aso t2 practica_crontabgarciadebora
 
Red t4 practica_ftp2
Red t4 practica_ftp2Red t4 practica_ftp2
Red t4 practica_ftp2garciadebora
 
Sg t3 practica_vpn-ssh
Sg t3 practica_vpn-sshSg t3 practica_vpn-ssh
Sg t3 practica_vpn-sshgarciadebora
 
Red t4 practica_ftp1
Red t4 practica_ftp1Red t4 practica_ftp1
Red t4 practica_ftp1garciadebora
 
Aso t1 practicas_ad
Aso t1 practicas_adAso t1 practicas_ad
Aso t1 practicas_adgarciadebora
 
Seg t2 practicas_certificado ssl
Seg t2 practicas_certificado sslSeg t2 practicas_certificado ssl
Seg t2 practicas_certificado sslgarciadebora
 
Red t3 practicas_iss
Red t3 practicas_issRed t3 practicas_iss
Red t3 practicas_issgarciadebora
 
Red t3_practica_autenticacion_apache
Red t3_practica_autenticacion_apacheRed t3_practica_autenticacion_apache
Red t3_practica_autenticacion_apachegarciadebora
 
Sg t2 practicas_tripwire
Sg t2 practicas_tripwireSg t2 practicas_tripwire
Sg t2 practicas_tripwiregarciadebora
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snortgarciadebora
 
Sg t1 practicas_linux
Sg t1 practicas_linuxSg t1 practicas_linux
Sg t1 practicas_linuxgarciadebora
 
Sg t1 practica-copia_seguridadwindows2003
Sg t1 practica-copia_seguridadwindows2003Sg t1 practica-copia_seguridadwindows2003
Sg t1 practica-copia_seguridadwindows2003garciadebora
 
Sg t1 practica_e_criptfs
Sg t1 practica_e_criptfsSg t1 practica_e_criptfs
Sg t1 practica_e_criptfsgarciadebora
 
Sg t1 practica_copia_seguridadlinux
Sg t1 practica_copia_seguridadlinuxSg t1 practica_copia_seguridadlinux
Sg t1 practica_copia_seguridadlinuxgarciadebora
 
Sg t1 practica_analisis_forense-2
Sg t1 practica_analisis_forense-2Sg t1 practica_analisis_forense-2
Sg t1 practica_analisis_forense-2garciadebora
 
Red t3 practica2_apacheopenldap
Red t3 practica2_apacheopenldapRed t3 practica2_apacheopenldap
Red t3 practica2_apacheopenldapgarciadebora
 
Red t3 practica1_apachecms
Red t3 practica1_apachecmsRed t3 practica1_apachecms
Red t3 practica1_apachecmsgarciadebora
 
Red t1 practicas_dns
Red t1 practicas_dnsRed t1 practicas_dns
Red t1 practicas_dnsgarciadebora
 

Más de garciadebora (20)

Aso t2 practica_crontab
Aso t2 practica_crontabAso t2 practica_crontab
Aso t2 practica_crontab
 
Red t4 practica_ftp2
Red t4 practica_ftp2Red t4 practica_ftp2
Red t4 practica_ftp2
 
Sg t3 practica_vpn-ssh
Sg t3 practica_vpn-sshSg t3 practica_vpn-ssh
Sg t3 practica_vpn-ssh
 
Red t4 practica_ftp1
Red t4 practica_ftp1Red t4 practica_ftp1
Red t4 practica_ftp1
 
Aso t1 practicas_ad
Aso t1 practicas_adAso t1 practicas_ad
Aso t1 practicas_ad
 
Seg t2 practicas_certificado ssl
Seg t2 practicas_certificado sslSeg t2 practicas_certificado ssl
Seg t2 practicas_certificado ssl
 
Red t3 practicas_iss
Red t3 practicas_issRed t3 practicas_iss
Red t3 practicas_iss
 
Red t3_practica_autenticacion_apache
Red t3_practica_autenticacion_apacheRed t3_practica_autenticacion_apache
Red t3_practica_autenticacion_apache
 
Pecha kucha
Pecha kuchaPecha kucha
Pecha kucha
 
Sg t2 practicas_tripwire
Sg t2 practicas_tripwireSg t2 practicas_tripwire
Sg t2 practicas_tripwire
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snort
 
Sg t1 practicas_linux
Sg t1 practicas_linuxSg t1 practicas_linux
Sg t1 practicas_linux
 
Sg t1 practica-copia_seguridadwindows2003
Sg t1 practica-copia_seguridadwindows2003Sg t1 practica-copia_seguridadwindows2003
Sg t1 practica-copia_seguridadwindows2003
 
Sg t1 practica_e_criptfs
Sg t1 practica_e_criptfsSg t1 practica_e_criptfs
Sg t1 practica_e_criptfs
 
Sg t1 practica_copia_seguridadlinux
Sg t1 practica_copia_seguridadlinuxSg t1 practica_copia_seguridadlinux
Sg t1 practica_copia_seguridadlinux
 
Sg t1 practica_analisis_forense-2
Sg t1 practica_analisis_forense-2Sg t1 practica_analisis_forense-2
Sg t1 practica_analisis_forense-2
 
Red t3 practica2_apacheopenldap
Red t3 practica2_apacheopenldapRed t3 practica2_apacheopenldap
Red t3 practica2_apacheopenldap
 
Red t3 practica1_apachecms
Red t3 practica1_apachecmsRed t3 practica1_apachecms
Red t3 practica1_apachecms
 
Red t2 dhcp
Red t2 dhcpRed t2 dhcp
Red t2 dhcp
 
Red t1 practicas_dns
Red t1 practicas_dnsRed t1 practicas_dns
Red t1 practicas_dns
 

Seguridad malware eliminación

  • 1. SEGURIDAD TRIMESTRE 1 2ºASIR Débora García García
  • 2. Seguridad Trimestre 1 Débora García García Índice OBJETIVOS ................................................................................................................................ 2 Introducción ............................................................................................................................. 3 Analizando nuestro sistema .................................................................................................. 4 Análisis, detección y eliminación real (práctica) ......................................................................... 5 Análisis.................................................................................................................................. 6 Detección .............................................................................................................................. 6 Eliminación ........................................................................................................................... 8 Cerrando los procesos ....................................................................................................... 8 Eliminando las claves......................................................................................................... 8 Eliminando los archivos ..................................................................................................... 8 Reinicio del SO y comprobación......................................................................................... 9 1
  • 3. Seguridad Trimestre 1 Débora García García OBJETIVOS Ten en cuenta el enunciado y tras infectar tu sistema con el malware, intenta eliminarlo. El archivo para realizar la práctica es un malware que no realiza ningún tipo de daños en el ordenador. Simplemente se copia y se ejecuta en cada reinicio enseñando un cartel avisando de la infección. Para usarlo se recomienda desactivar el antivirus. Una vez ejecuten el archivo de la práctica, reinicien el ordenador, sino el virus no podrá copiarse. Además así al reiniciar verán los síntomas de la infección que es un cartelito informativo. http://foro.elhacker.net/seguridad/proyecto_talleres_practicos_sobre_seguridad_informa tica_orientada_al_malware-t327010.0.html;msg1612522#msg1612522 2
  • 4. Seguridad Trimestre 1 Débora García García Introducción Lo primero que haremos será desactivar nuestro antivirus del sistema operativo y para asegurarnos más aun también el firewall, aunque el software malicioso con el que vamos a practicar es inofensivo, aun así he optado por trabajar desde una máquina virtual. Por lo general, el malware tiene tres acciones indispensables para asegurar su integridad en un sistema, estas son la de ejecutarse, copiarse y auto ejecutarse en cada inicio del sistema. Las rutas típicas donde se copia el malware son las siguientes (no por eso las únicas).  C:  C:Windows  C:WindowsSystem32 El segundo paso, una vez ejecutado y copiado un malware creará una clave en el registro de Windows. El registro de Windows no deja de ser un software que tiene el propio Windows donde residirá una gran información sobre el sistema así como gran parte de la configuración de este. Para acceder al registro de Windows, simplemente deberán ir a INICIO y presionar en EJECUTAR, allí escriben “regedit” y al apretar se les abrirá el registro de Windows y verán las distintas claves y subclaves que lo conforman. Para que un ejecutable se auto-inicie con el sistema operativo creará una clave en las siguientes rutas:  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce 3
  • 5. Seguridad Trimestre 1 Débora García García En este caso está vacío porque es una máquina recién instalada y limpia. Para poder visualizar los procesos activos en un sistema, utilizaremos el administrador de sistema o también conocido como taskmanager. Para ejecutar el taskmanager solo deberemos presionar las teclas CNTRL+ALT+SUPR donde se abrirá una pequeña pantalla con una pestaña con los procesos en ejecución. Pero esto sólo nos sirve para cerrar los procesos. Es importante, entender por qué hace falta cerrar un proceso, la explicación es sencilla y es porque el propio sistema no nos permite eliminar un archivo ejecutándose con un proceso abierto. Cada ejecutable tendrá su propio proceso. Analizando nuestro sistema Para ello utilizaremos una herramienta muy sencilla y practica que nos generará un resumen en un archivo de texto sobre los procesos y archivos que se ejecutan en el sistema. Posteriormente utilizaremos una herramienta online para analizar el log generado, aunque con un poco de experiencia y conocimiento cuando se adquiere más experiencia es sencillo simplemente con el log localizar malware. La herramienta se llama hijackthis, es gratuita y la podrán encontrar en el siguiente enlace: http://free.antivirus.com/hijackthis/ Simplemente deberán seleccionar un análisis del sistema con la opción de crear un log. Esto generará un archivo de texto el que guardaremos en nuestro ordenador para posteriormente analizarlo. Una vez tengamos el log, simplemente utilizaremos uno de los servicios gratuitos online que permite hacer una lectura de éste y mostrarnos las claves correctas o que pueden ser intrusivas. Hay veces que una clave la muestra como no segura aunque puede ser que no esté en la base de datos y por eso no la reconoce, no quiere decir que todo lo que no indica como seguro deba ser un malware. 4
  • 6. Seguridad Trimestre 1 Débora García García Para realizar el análisis de estos archivos podremos utilizar los siguientes servicios online gratuitos. www.hijackthis.de http://hjt.networktechs.com/ El uso de estos servicios es muy sencillo, simplemente suban el archivo de texto o copien el contenido en la pantalla que hay en la web, una vez hecho tendrán unos resultados parecidos a la siguiente imagen. Como pueden ver en la imagen, toda la lista aparece con una marca verde, eso quiere decir que los procesos y archivos son correctos, en caso de aparecer con un aspa amarilla es que son desconocidos y en el caso de que tengan un aspa roja es que lo más probable es que sea algún tipo de malware. Análisis, detección y eliminación real (práctica) Lo primero que vamos hacer es descargar e instalar nuestro archivo malicioso en el sistema, previamente debemos de quitar el antivirus y si queremos también el firewall para asegurarnos mejor de que todo vaya a salir a la primera. Descarga e instala también el software de hijackthis y ten localizadas las páginas con las que vamos a trabajar, todo esto está comentado anteriormente. Ahora reiniciaremos el sistema operativo para que se infeste. 5
  • 7. Seguridad Trimestre 1 Débora García García Análisis Una vez que nos salga el cartelito, es que ya tenemos el sistema infestado y ahora ejecutaremos hijackthis para que nos cree el log, lo guardamos para luego poder analizarlo en las páginas oportunas. Detección Nos vamos a la primera página: Introducimos el archivo log que queremos examinar. 6
  • 8. Seguridad Trimestre 1 Débora García García Con la opción de poner la ruta del archivo no ha salido, pero no te preocupes, copia el contenido del archivo log en el cuadro de texto y dale a analizar, también se puede hacer de esa forma. Una vez analizado observamos que todo sale en verde menos dos entradas: También lo podemos hacer desde la segunda página, copiando de nuevo el contenido del archivo log y dale después a parse, ahora vemos los errores en rojo: 7
  • 9. Seguridad Trimestre 1 Débora García García Eliminación Para la eliminación seguiremos el siguiente orden.  Cerrar el proceso o procesos del ejecutable o ejecutables.  Eliminar el archivo o archivos.  Eliminar la clave o claves del registro de Windows.  Reiniciar el ordenador y comprobar. Cerrando los procesos Primero de todo, cerraremos el proceso creado por el virus, para ello presionamos CNTRL+ALT+SUPR y vamos a la pestaña de “procesos” del administrador de tareas. Para finalizarlo, simplemente haciendo un click sobre el nombre del proceso y luego a “Finalizar proceso” se cerrará el proceso y tendremos vía libre para borrar el archivo sin problemas. Eliminando los archivos Ahora el siguiente paso es localizar el archivo y eliminarlo, para ello la ruta donde se ubica recordemos que es: C:WINDOWSSystem32svohost.exe Eliminando las claves Por último, para dejar el ordenador limpio es importante eliminar la clave del registro, en caso de no hacerlo no pasará absolutamente nada, pero para mantener nuestro ordenador y el registro de Windows más limpio se recomienda hacer el borrado. Para ello, podemos utilizar algún tipo de software que nos permita limpiar el registro de claves innecesarias, en este caso contamos con una herramienta llamada CCleaner, la podrán descargar del siguiente enlace. http://www.ccleaner.com/ No obstante, frente a la alternativa de utilizar CCleaner u otro programa similar, como solamente hay una clave en el registro a eliminar, se puede proceder a la eliminación de forma manual mediante el registro de Windows, ya que su localización no es complicada. Para ello vamos a inicio y en la pestaña de ejecutar o en buscar, según sistema operativo escribimos REGEDIT. Al aceptar se nos abrirá el registro de Windows. En el registro de Windows, simplemente se deberá localizar la siguiente clave y borrarla. O4 - HKLM..Run: [Soundman] svohost.EXE 8
  • 10. Seguridad Trimestre 1 Débora García García Reinicio del SO y comprobación Una vez llegados a este punto, aparentemente el malware estará eliminado del equipo. De todas formas, es muy importante asegurar que no queda ningún indicio de este, para ello reiniciaremos el ordenador y comprobaremos que no existen los archivos maliciosos y las rutas del registro de Windows. A veces ocurre, que al reiniciar vuelven a aparecer los archivos y claves del registro de Windows, en este caso suele pasar que hay más de un ejecutable del malware activo en el ordenador y al reiniciar vuelve a crear las copias. En caso de que en el log del hijackthis no aparezca nada más que nos pueda hacer sospechar, podría darse el caso de que el malware tuviera función de rootkit, es decir que se ejecutara bajo un proceso de un archivo del sistema por ejemplo y no se haya detectado. 9