Cómo deshacerse del malware

Publicado: 18. Ene, 2010 en Alertas de seguridad | Enviar a un amigo Enviar a un amigo

Este artículo es una completa guía para diferenciar las distintas amenazas que acechan nuestra computadora, cómo removerlas y cómo estar prevenido.

Este artículo fue publicado en la edición de enero de 2009 de DattaMagazine, la revista de tecnología de Dattatec.
Autor: Javier Richarte - javier.richarte@dattamagazine.com

¿QUÉ ES EL MALWARE?

Para muchos usuarios, o personal encargado del soporte técnico, la mejor forma de limpiar un sistema altamente infectado por spyware o virus es formatear el disco duro y volver a instalar todo el software. Justamente, formatear y reinstalar siempre deben ser el último recurso, no el primero. Lo mismo les recomiendo a la hora de solucionar cualquier otro problema que tengamos en la PC.
Este informe pretende explicar un método no muy convencional para la eliminación de software maligno de una PC, el cual no se basa en utilizar antivirus ni antispyware, sino una herramienta mucho más poderosa: nuestra propia intuición.

TIPOS DE MALWARE

Para empezar, veamos las diferencias entre los distintos tipos de software maligno:

Virus:
Un programa de computadora que puede infectar otros programas modificándolos para incluir una copia de sí mismo consumiendo recursos de la máquina (RAM, CPU y disco). Los virus informáticos tienen básicamente la función de propagarse, replicándose, pero algunos contienen además la carga viral (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, bloquear las redes informáticas generando tráfico inútil, o hasta borrar archivos o, incluso, el disco entero.

Spyware o programas espía:
Son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Los programas espía pueden ser instalados en una PC mediante un virus, un troyano que se distribuye por correo electrónico, o bien puede estar oculto en la instalación de un programa aparentemente inocuo (KaZaa, eDonkey2000, MSN Plus!, etc).
En este rubro, podemos mencionar Spyware como MyWebSearch, ShopperReports o Gator.

Keyloggers:
Es un tipo de software espía que recoge la información que se escribe por teclado. También pueden capturar pantallas a intervalos de tiempo pre-establecidos. Toda esa información recolectada puede ser alojada en un archivo, subida a una dirección remota FTP o ser enviada vía correo electrónico con cierta frecuencia.

Adware:
Es software que durante su funcionamiento despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en pop-up’s (ventanas emergentes) o a través de una barra que aparece en la pantalla. Esta práctica se utiliza para subvencionar económicamente la aplicación, permitiendo que el usuario la obtenga por un precio más bajo e incluso gratuito y, por supuesto, puede proporcionar al programador un beneficio, que ayuda a motivarlo para escribir, mantener y actualizar un programa valioso.

Rootkit:
Podría traducirse este término inglés como “encubridor”. Es una herramienta, o un grupo de ellas, que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos.

Malware:
La palabra malware proviene de una agrupación de las palabras mal-icious soft-ware. Este programa o archivo, que es dañino para el equipo, está diseñado para insertar virus, gusanos, troyanos o spyware intentando conseguir algún objetivo, como podría ser el de recoger información sobre el usuario o sobre el ordenador en sí.

CONCEPTOS

Tan sólo un ejemplo de un sistema infectado por spyware/adware: molestas barras que se adosan al Internet Explorer con inútiles funciones para el usuario. Los resultados son lentitud al usar la PC y al navegar debido al gran uso del ancho de banda por parte del malware.
Existen programas para remover todas esas malezas llamados antispyware. Y los hay de dos tipos:
Los antispyware activos (por ejemplo, Ad-Aware y Spybot S&D) que, como su nombre indica pueden trabajar activamente resolviendo la tarea sin intervención del usuario. En la teoría suena lindo, pero en la práctica la cosa no es efectiva, ya que estas herramientas son incapaces de terminar los procesos (tareas) que se están ejecutando, por lo tanto, resulta imposible su eliminación.
Los antispyware pasivos (HijackThis, AutoRuns) son los más eficaces, pero son más complejos de utilizar, sobre todo si no estamos familiarizados con los procesos que se están ejecutando.
Aquí es donde se necesita intervención real por parte nuestra: terminar los procesos maliciosos activos (aunque si estamos ejecutando Windows en Modo Seguro no será necesario), luego borrar los archivos, y por último eliminar las llamadas del inicio del sistema operativo.
Pero no es todo tan simple, en realidad hay que tener en cuenta más procedimientos y sobre todo, su orden correlativo para no fracasar en esta tarea.
Necesitaremos paciencia, algo de intuición e ingenio y unos cuantos recursos como ciertas herramientas del sistema o software específico. Comencemos.

PASO A PASO

Paso 1: Desactivar la función Restaurar sistema
Para evitar que al terminar nuestra “limpieza”, haya quedado un rastro de virus que vuelva la configuración del sistema a un estado anterior, dejando todo tal como cuando empezamos. Hay malware que es capaz de hacer esto, aunque son minoría.
En Windows XP: Panel de Control, Sistema, solapa Restaurar sistema, tildar la casilla “Desactivar restaurar sistema”. Aceptar.

Paso 2: Reiniciar el equipo en Modo a prueba de fallos
Esta tarea se podría realizar perfectamente en “modo normal” pero en algunos casos resulta engorroso identificar y terminar los procesos correspondientes al malware. En casos aislados, sucede que elementos infectados están formados por dos procesos que se complementan. Cuando se finaliza uno, el otro proceso que aun está activo, vuelve a ejecutar el que cerramos y así sucesivamente. Esto hace imposible la eliminación en sí del archivo ejecutable malicioso ya que continúa ejecutándose.
Existen formas de terminar dos o más procesos en el mismo instante pero deberemos recurrir a software más específico, como Total Commander con ciertos plug-ins instalados.
Para que esta tarea sea lo más fácil posible no se recomienda usar el “modo normal” de Windows.
Debemos arrancar el equipo en Modo Seguro –o a prueba de fallos-, pulsando repetidas veces la tecla F8 durante los primeros segundos de arranque. Un menú aparece, debemos seleccionar “Modo Seguro” para Windows 2000, XP o Vista y “Modo a prueba de fallos” para el resto de los sistemas operativos anteriores de Microsoft.
Trabajando bajo este modo no tendremos, por ejemplo, acceso a Internet, por lo que debemos hacernos con las herramientas necesarias de antemano. La ventaja es que, trabajando en modo seguro, no se cargarán junto con el sistema, los programas indeseados como virus, troyanos y spyware que nos puedan dificultar aún más su remoción.

Paso 3: Ejecutar HijackThis o Autoruns
Comencemos con HijackThis. A simple vista, este pequeño pero útil programa puede resultar complejo, pero es muy fácil de utilizar, sólo deberemos familiarizarnos un poco con él.
Se puede descargar la última versión disponible (la 2.0.2) en forma gratuita desde aquí.
Al ejecutarlo clickeamos en la opción “Do a system scan only”, luego de unos segundos se presenta en pantalla una lista con los siguientes ítems: aplicaciones (deseadas o no) que se ejecutan al inicio, botones y barras adosadas al Internet Explorer, servicios NT de terceros e incluso los peligrosos Winsocks ajenos al sistema, entre otros.
Aquí está la parte más compleja y peligrosa del trabajo, ya que nosotros mismos tendremos que indicarle al HijackThis, qué componentes remover y cuáles no. Esto se realiza tildando la casilla que cada ítem posee y al finalizar, clickear en el botón “Fix Checked” (reparar seleccionados).
Lo más aconsejable es ir conociendo los componentes que inician con el sistema habitualmente, que son los que no hay que eliminar.
Una vez logrado esto, podremos quitar el resto, o sea, software malicioso. Quizás en nuestra propia PC la tarea sea más simple, ya que conocemos qué hardware tenemos instalado –y por lo tanto los drivers de auto-inicio-, así como las aplicaciones que usamos.
Se complica cuando tenemos que remover spyware de equipos ajenos, los cuales no conocemos del todo. Lo ideal es pegar un vistazo al hardware y al software instalado, de esta forma identificaremos en la lista que muestra HijackThis qué componentes eliminar y cuales dejar (drivers, aplicaciones que se inician automáticamente, etc.)
Se podría decir que HijackThis y Autoruns son una especie de MS Config muy avanzado, a los cuales “no se les escapa nada”.
Debemos tildar los ítems en esta lista dudando de los nombres sospechosos o raros y no confiar en todo aquello que no sea propio al sistema o al software que está instalado. Los ítems que no tenemos que remover son aquellos pertenecientes al sistema o a software útil como antivirus, firewalls o drivers de dispositivos.
Un simple ejemplo es no eliminar de la lista ítems como MSN Messenger, drivers de scanners o impresoras, firewalls, antivirus, etc. [Ejemplos: ccApp.exe (Norton Antivirus), vsmon.exe y zlclient.exe (Zone Alarm), msnmsgr.exe (MSN)]
Esos componentes son los que debemos identificar y usar nuestro ingenio para eliminar el resto. Obviamente siempre surge alguna duda sobre si eliminar algún ítem o no, para lo que debemos acudir a una simple búsqueda en Internet o en el peor de los casos en foros sobre spyware. [Ejemplos: vc bat.exe, saap.exe, Points Manager.exe, msbb.exe, cmesys.exe, msnappau.exe, GMT.exe, altnet.exe, etc. Y otros con nombres generados al azar: sdfuhesdg.exe, diuhenabsd.exe, etc.]
Existen varios sitios para buscar nombres de procesos o ejecutables que devuelven información detallada y podremos así saber si se trata de software inofensivo o spyware. Aquí les dejamos dos de los mejores:

Process Library: http://www.processlibrary.com/
Spy Any: http://www.spyany.com/files/exe_index.html

Además de ítems que se ejecutan al inicio, HijackThis es capaz de mostrar barras que se acoplan al Internet Explorer (tanto deseadas como no deseadas) éstas comienzan por “O3 - Toolbar”.
También es apto para detectar BHO’s (Browser Hijack Objects) que son archivos .DLL para realizar determinadas funciones en Internet Explorer como plug-ins o gestores de descarga. Muchos spywares aprovechan esto para instalarse obstaculizando su remoción.
HijackThis muestra cada ítem con este formato: Tipo de objeto - Nombre - Ruta. El nombre no es demasiado importante, aunque en algunos casos nos facilita la identificación de casos positivos de spyware. Lo más importante es la ruta del objeto, sobre todo al final, que indica el nombre del archivo ejecutable (.exe, .com, .bat, .pif, .dll, etc.) El tipo de objeto indica si se trata de una barra del navegador IE, un botón agregado al explorador de Windows o Internet Explorer, página de inicio o un elemento que se ejecuta automáticamente en el arranque.
No es demasiado relevante conocer con qué tipo de objetos spyware nos topamos. Basta con eliminarlos. Pero nos puede ayudar a comprender mejor todo lo que HijackThis es capaz de hacer.

Tipos de elementos de HijackThis

R0, R1, R2, R3 - Página de inicio o página de búsqueda cambiadas en Internet Explorer

F0, F1 - Programas auto-iniciables

N1, N2, N3, N4 - Páginas de búsqueda cambiadas en Netscape o Mozilla

O1 - Redirección de sitios (en el archivo HOSTS)

O2 - Objetos de ayuda en el navegador

O3 - Barras agregadas al IE

O4 - Programas que se auto-inician en el registro

O5 - Opciones ocultas del IE

O6 - Acceso restringido al IE por el “administrador”

O7 - Acceso restringido al regedit por el “administrador”

O8 - ítems extra en el menú (clic derecho) del IE (como por ejemplo el soft ReGet Deluxe)

O9 - Botones extra del IE

O10 - Modificaciones o agregados al WinSock

O11 - Opciones avanzadas del IE

O12 - Plug-ins del IE

O13 - Modificaciones al IE

O14 - Malware para resetear la configuración del IE

O15 - Sitio no deseado en “Sitios Seguros”

O16 - Objetos ActiveX (también conocidos como “Downloaded Program Files”)

O17 - Modificaciones al IE relacionadas con el dominio Lop.com

O18 - Protocolos adicionales

O19 - Modificaciones a la hoja de estilos

O20 - Valores de auto-ejecución de DLLs del registro

O21 - Autoejecución de la clave del registro ShellServiceObjectDelayLoad del registro

O22 - Autoejecución de Tareas programadas

O23 - Servicios de Windows NT/2000/XP/2003

El Autoruns, es una pequeña herramienta también gratuita de la firma Sysinternals (descargable desde http://live.sysinternals.com/autoruns.exe), recientemente adquirida por Microsoft. También entra en la categoría de anti-malwares pasivos y sirve para descartar todo aquello que no nos sea útil en el arranque de Windows.
El panel principal está dividido en categorías distribuidas por solapas (todo, logon, DLLs, drivers, servicios, gadgets de la barra lateral, winsocks, etc.).
Cumple la misma función que el HijackThis. Posee funciones que el otro no y viceversa. En este caso, sólo hay que destildar los elementos que no deseemos que se carguen en el inicio (todos los que estén activos aparecerán con una casilla tildada a su izquierda) y no será necesario guardar cambios ni aceptar, con cerrar el programa normalmente bastará; aunque aún no lo haremos: antes de cerrar el programa debemos leer atentamente el paso siguiente.

Paso 4: Eliminar los archivos maliciosos
Luego de haber tildado todos los elementos spyware de la lista del HijackThis o de haberlos desactivado en la lista del Autoruns, tendremos que ir eliminado del disco duro los archivos indicados en la ruta, luego de eliminarlos cuidadosamente uno por uno, vaciamos la papelera de reciclaje. La gran mayoría de los spywares se instalan en las carpetas windows, windows\system32, Archivos de Programa y Documents and Settings.
Muchos de ellos han de estar ocultos y con atributos de sistema y solo-lectura, para dificultar, en cierta forma, su detección y remoción.
Algunos elementos espía, están formados tan sólo por un archivo ejecutable (.exe o .dll), pero otros poseen varios archivos alojados en una carpeta, como el caso de MySearchBar, msnappu.exe, GMT, FunWebProducts, Gator, ADTOOLS SERVICE o HotBar, por citar algunos ejemplos. En este caso, hay que eliminar la carpeta completa, no sólo los ejecutables.
Bien, una vez tildados todos los ítems molestos como spyware, virus, barras indeseadas del navegador, páginas de inicio y búsqueda cambiadas, protocolos WinSock agregados, etc… y eliminados los archivos de los casos efectivamente positivos procedemos a clickear en el botón inferior llamado “Fix Checked” (Reparar ítems seleccionados). La tarea toma unos segundos y pueden aparecer algunos carteles indicando comentarios, siempre pulsar OK. En algunos casos, HijackThis solicita reiniciar la PC al finalizar, no hacerlo todavía.

CONCLUSIONES

En la próxima edición veremos los pasos restantes para eliminar todo resabio de software espía que haya quedado en el sistema y algunos consejos para estar prevenido y no ser víctimas de esta plaga tan molesta como abundante en la red de redes. ¡Hasta la próxima!

Leé la continuación de este artículo en DattaMagazine #4, la revista de tecnología de Dattatec .

Tags: , , , , , , , ,

Deja un comentario