El día de hoy les traemos la segunda entrega del post de la semana pasada, donde detallábamos cómo deben proceder si fueron víctimas de una infección y no poseían una solución antivirus.

Anteriormente les brindamos un procedimiento básico de como identificar, localizar y posteriormente eliminar dicha amenaza, pero no profundizamos demasiado en qué se debe hacer si el malware posee cualidades de autoprotección.

Servicios bloqueados

Es muy normal que una amenaza realice modificaciones al registro de Windows, no solo para garantizar su posterior ejecución, sino también para evitar ser removido de manera sencilla del sistema. Entre estos servicios, los que suelen ser afectados son:

• Administrador de Tareas (Task Manager)
• Registro de Windows (Windows Registry)
• Utilidad de Configuración de sistema de Windows (MsConfig)
• Navegadores de Internet (Firefox, Internet Explorer)

De esta forma, la amenaza, limita de forma considerable las posibilidades de que el usuario pueda eliminarla del sistema. Más allá de esto, existen herramientas de análisis automatizado que buscan cualquier incongruencia dentro del registro de Windows y posteriormente las solucionan. Una de ellas, gratuita y de alto rendimiento, es CCleaner, la cual luego de realizar el análisis permite tomar acción sobre cada uno de los problemas encontrados.

También existe la posibilidad de que la amenaza bloquee la ejecución de ciertas aplicaciones, como es CCleaners y otras herramientas de seguridad, por lo que se deberá recurrir, como mencionamos en el post anterior, a un Live CD/DVD/USB.

Alternativa de limpieza

Un Live CD es básicamente un sistema operativo booteable, es decir que se inicia directamente desde una unidad óptica o USB. De esta forma es posible poder analizar el disco duro como a un medio extraíble y así solucionar cualquier problema que afecte al mismo sin preocuparnos por procesos corriendo en memoria o aplicaciones bloqueadas.

ESET ofrece una solución de este tipo denominada ESET SysRescue, la cual es creada desde cualquier solución para Windows de ESET y puede ser utilizada en cualquier equipo.

Para utilizar la misma se debe ingresar el CD/DVD o USB en el equipo y luego se deberá presiona la tecla F8 (o la que corresponda según el BIOS del equipo) para así seleccionar dicha unidad. Esta selección también puede ser realizada desde el Setup del BIOS, cambiando el orden de booteo de las unidades, pero se debe tener en cuenta que luego se deberá restablecer el orden original.

Una vez realizado esto, se iniciará una versión de ESET NOD32 Antivirus la cual nos permitirá analizar el disco como una unidad física externa eliminando cualquier amenaza que allí resida.

Luego se deberá reiniciar el equipo e iniciarla en modo normal, para poder verificar que la amenaza fue eliminada y no quedan rastros de la misma.

Son varias las metodologías que pueden ser utilizadas para solventar un problema de infección, sin la necesidad de formatear el equipo, pero es mejor aún prevenir este tipo de dificultades mediante la utilización de una solución antivirus con detección proactiva como es ESET NOD32 Antivirus.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Educación, Malware
No Comments »

Desde hace unos días el mundo de Android sufrió una sacudida muy fuerte en lo que respecta a seguridad. La plataforma móvil de Google está siendo afectada por una cantidad de códigos maliciosos que aumentan constantemente. En esta ocasión fue el mismo Android Market quien se vio afectado por la aparición de 21 aplicaciones maliciosas.

Los códigos maliciosos existentes para esta plataforma no son ninguna novedad. Desde la aparición del primer troyano SMS para Android, se ha observado un creciente número de variantes existentes para esta plataforma. Entre estos códigos maliciosos podemos remarcar a Geinimi, un troyano que cuenta con la capacidad de convertir un dispositivo móvil infectado en parte de una botnet.

Todas las aplicaciones han sido eliminadas del Android Market, una vez que fueron identificadas como tales.

Entre las principales características que presentan se remarca la utilización de exploits para obtner permisos de usuario root, que cuenta con privilegios de administrador. Nivel al que accede mediante la utilización de exploit packs como “rageagainstthecage” y “exploid”.

Una vez que el usuario descargaba la aplicación se producía la infección de su equipo, es en este punto que se realiza el envió de información a servidores remotos. Entre la información transmitida se encuentran datos como el IMEI (International Mobile Equipment Identity, en español Identidad Internacional de Equipo Móvil) que permite identificar a un dispositivo móvil de manera unívoca a nivel mundial.

Otro punto más que importante es que no solo la aplicación es maliciosa y envía información del equipo, sino que también realiza la descarga de otros códigos maliciosos sin el conocimiento o consentimiento del usuario. Punto que hace de esta amenaza algo mucho más que importante.

Algunas de las aplicaciones que fueron afectadas encontramos a Falling Down, Super Guitar Solo, Super Ringtone Maker, Super Sex Positions, Chess, Advanced Currency Converter, y Spider Man.  En conjunto el total de las 21 aplicaciones maliciosas cuentan con más de 50.000 descargas, número no menor si se tiene en cuenta que fueron efectuadas en un período de 4 días.

Nos encontramos ante un hecho muy importante que quizás cambie el concepto acerca de este creciente vector de ataque. Los desarrolladores de códigos maliciosos están incursionando más y más profundo en en el área de las plataformas móviles, haciendo uso de las técnicas más diversas.

Android es una plataforma abierta, con un gran número de repositorios de aplicaciones disponibles para sus usuarios. Tal diversidad infiere un control mínimo sobre su procedencia y veracidad, punto altamente explotado por los desarrolladores de códigos maliciosos. El utilizar aplicaciones conocidas con códigos maliciosos inyectados en ellas genera un mayor número de infecciones, ya que los usuarios confían en las mismas.

Como dijo David Harley, Senior Researcher de ESET:

Gartner estima que para fin de año se habrá realizado la descarga de 17.700 millones de aplicaciones móviles a nivel mundial. No puedo dejar de pensar que los usuarios de Android son quienes deberán pagar la falta de control en el Android Market en lugar de los usuarios que  están protegidos por listas blancas de aplicaciones muy estrictas.

Es por ello que más allá de la plataforma elegida por el usuario es recomendable que este cuente con buenas prácticas para el uso de dispositivos móviles y se mantenga informado acerca de las amenazas existentes para su smartphone.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Malware
7 Comments »