1. HERRAMIENTAS PALIATIVAS. a)Instala en GNU/Linux el antivirus ClamAV, y su versión gráfica Clamtk. Despues de instalar el antivirus y de instalar el entorno grafico

Realizamos un escáner por modo comando de /etc

Y en modo Gracico

Pinchanmos en directorio y arrastramos los directorios a la izquierda y pulsamos aceptar en mi

caso /Home. Y este es el resultado

b) Instala y utiliza la herramienta de análisis antimalware Live AVG Rescue CD.

Nos dirigimos a la BIOS y en esta cambiamos la secuencia de arranque para que inicie desde el cd. A continuación vemos el aspecto del programa: Seleccionamos la opción scan para realizar un análisis:

En la siguiente pantalla nos permite elegir el tipo de análisis, en nuestro caso seleccionamos la primera opción del menú “Scan inside archives”.

Comienza el análisis:

Por último podemos observar el resultado del análisis: 2 Infecciones y 1warning.

c) En tu ordenador, realiza un análisis antimalware a fondo.

Vamos a Inicio ejecutar y escribimos msconfig:

Software de Microsoft: Suite Sysinternals. Utiliza entre otros: Autoruns y Process Explorer Vamos a la página oficial de sysinternals.

Process explorer.

Descargamos e instalamos Process explorer.

El resultado es el siguiente:

Autoruns

Descargamos e instalamos Autoruns.

El resultado es el siguiente:

d) En tu ordenador, realiza un análisis antimalware a fondo, utilizando herramientas gratuitas.

Utiliza las herramientas:

HouseCall

HouseCall es una herramienta gratuita basada en la Web que está diseñada para detectar en el PC una amplia gama de amenazas en seguridad de Internet, como virus, gusanos, troyanos y spyware. También detecta las vulnerabilidades del sistema y proporciona un enlace que le permite descargar fácilmente los parches de seguridad que faltan. Después de cada exploración, HouseCall entrega un informe detallado que identifica las amenazas de seguridad detectadas en el equipo. Descargamos e instalamos el software.

Analizamos el equipo y observamos el resultado: Podemos ver como se realiza el análisis, al final de este no detecto ningún malware.

Browser Guard 2011

Trend Micro Browser Guard es una herramienta fácil de usar plug-in, lo que evita las

amenazas conocidas y desconocidas de Internet. Ataques de día cero, como Aurora y

Hydraq puede ser proactiva bloqueado por Browser Guard, que detecta y previene el

comportamiento asociado con este tipo de amenazas.

Los cibercriminales utilizan a menudo JavaScript malicioso insertado en páginas web,

donde los ataques pueden tener lugar en silencio, sin ningún efecto visible. Browser

Guard también lo protege de este tipo de ataques mediante el análisis y el bloqueo

posteriormente JavaScript malicioso. Para la detección más avanzada y eficiente,

Browser Guard se comunica con la red de Trend Micro Smart Protection Network, que

trae las últimas protecciones cuando usted navega por la web.

Ventajas clave

Protege contra ataques de día cero Detecta buffer-overflow y ataques spray heap Protege contra la ejecución de código shell Analiza y protege contra software malicioso JavaScript Se conecta con Trend Micro Smart Protection Network para maximizar las detecciones

Descargamos e instalamos el programa.

HiJackThis

Es una utilidad gratuita que genera un informe detallado de la configuración de archivos y del Registro del equipo. HijackThis no establece ninguna separación entre la configuración segura y no segura en los resultados de su exploración, lo que permite eliminar del equipo los elementos deseados. Además de esta capacidad de exploración y eliminación, HijackThis incluye varias herramientas útiles para eliminar manualmente el malware de un equipo.

Descargamos e instalamos el software HiJackThis. Pulsamos en la ventana seleccionada para realizar un análisis y tras este se guarde el resultado en un fichero. O en la pestaña “Do a system scan only” simplemete para realizar un análisis.

Pulsamos en scan:

Tras el análisis podemos observar el resultado de este y los hijackthis detectados:

RUBotted. RuBotted monitoriza su equipo en busca de infecciones potenciales y actividades sospechosas asociadas con redes zombi. Redes zombi son archivos malintencionados que habilitan a los delincuentes cibernéticos controlar en secreto su equipo. Al descubrir una infección potencial, RUBotted los identificará y limpiará con HouseCall. Descargamos e instalamos el software.

Realizamos un análisis y el resultado lo podemos observar en la siguiente pantalla: No hay botnet en nuestro equipo.

e) Instala y utiliza el software de recuperación de pulsaciones de teclado denominado Revealer Keylogger. Revealer no está disponible para sistema operativo Windows 7, realizaremos la práctica sobre el sistema operativo Windows Xp SP3.

Descargamos e instalamos el software.

Observamos el aspecto de la aplicación y sus diversas pestañas.

Tecleamos para ver que el software funciona.

A continuación maximizamos la pantalla y podemos observar lo que el usuario josejimenez, el miércoles, 23 de noviembre de 2011.

Para seleccionar los registros escritos en un determinado día tenemos un calendario.

También nos permitir ver los resgistros de determinados usuarios.

Piensa como prevenir este software e informa en un documento. A continuación instalamos un antimalware y observamos el resultado. Utiliza el software Malwarebytes para Windows. ¿Lo detecta?

Nada mas descargar el instalador, el sistema operativo mostró este mensaje:

En primer lugar descargamos e instalamos el software malwarebytes.

A continuación realizamos un análisis completo.

Ahora seleccionamos las unidades que queremos analizar:

Seleccionamos C y D puesto que no tenemos unidad a en nuestro equipo.

Resultado del análisis:

El keylogger es detectado.

f) Investiga en Internet el término: Hijacker.

Técnica ilegal que lleve consigo el adueñarse o robar algo (generalmente información) por parte de un atacante. Es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el secuestro de conexiones de red, sesiones de terminal, servicios, modems y un largo etcétera en cuanto a servicios informáticos se refiere.

¿Qué efectos tiene sobre el sistema? Secuestrador del navegador (browser hijacker): Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra de su elección, también pueden añadir barras de herramientas en el navegador o incluir enlaces en la carpeta de “Favoritos”. Todas estas acciones las realiza generalmente para aumentar las visitas de la página de destino. ¿Cómo puedes eliminar el “Browser hijacker”? Se recomienda iniciar en modo a prueba de fallos, o desde una live cd y realizar un análisis con algunas de las siguientes herramientas. http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/?idLabel=2230278&idUser=&idPlatform=

g) Busca información sobre el fichero autorun.inf que poseen los dispositivos de almacenamiento y cómo se camufla y opera malware a través de este archivo. Es un archivo de texto que indica una función a seguir, sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o Memoria flash. ¿Cómo se propaga?

Se lo activa al clikear sobre el icono del medio de almacenamiento, o la ventana que presenta el sistema operativo, cualquier medio de almacenamiento es contaminado al conectar.

¿Qué efecto tiene?

Errores en visualización o búsqueda con el Explorer. Así pues, cuando se intenta abrir una carpeta, el sistema operativo nos puede dar los siguientes mensajes y los siguientes problemas:

"Elija el programa que desea usar para abrir el siguiente archivo"

"No es posible hallar el archivo solicitado"

"Explorer.exe no responde"

"El computador presenta resultados de forma lenta"

"Según el tipo de virus, algunos ocupan toda la memoria RAM y empiezan a escribir en memoria Caché"

"En otros casos hace que los accesos directos, no ejecuten el programa elegido"

"En casos muy severos, evita que el sistema operativo logre iniciar, pues el mismo no encuentra sus archivos para inicio"

"Cualquier medio de almacenamiento es contaminado al conectar"

¿A qué tipo de sistemas operativos afecta? Windows 32-bit

¿Qué medidas de seguridad puede tomar?

Ejecutar una serie de comandos desde CMD, a fin de detener su ejecución y protección, con el fin de eliminarlo

Creación de un falso autoun.inf con el fin de evitar que se establezca el virus que lo utiliza

Desactivación de la Auto ejecución del sistema operativo.

¿Qué es la desactivación de la ejecución automática? Es el deshabilitamiento de una funcionalidad del sistema que es la de arrancar de manera automática programas de instalación de aplicaciones contenidas en CD-ROM, memorias USB y otros dispositivos extraíbles. ¿Cómo se puede realizar? La primera es: abrir "Mi PC", hacer click derecho en el icono de la unidad de CD y elegir "Propiedades" en el menú. Seleccionar la solapa "Reproducción automática" y marque "Seleccionar la acción que desea ejecutar" en el recuadro Acciones. Allí elegir la opción preferida. La opción más simple es ir a "Inicio" > "Ejecutar", escribir "gpedit.msc" y en la ventana abierta abrir la carpeta "Plantillas administrativas" del subtítulo "Configuración del equipo". Luego, elija "Sistema" y haga un doble clic en "Desactivar reproducción automática". Cerrar la ventana y listo.

¿Para qué sirve USB Vaccine?

Es una herramienta que Panda pone a disposición de los usuarios para evitar la forma de infección más común en los dispositivos extraíbles como discos duros, pendrives, mp3... Su forma de trabajar es bastante sencilla y efectiva crea un fichero autorun.inf en el dispositivo y lo protege para que no se pueda modificar ni eliminar, de esa forma, aunque se copie un virus en este dispositivo, no se ejecutará de forma automática al conectar el dispositivo a un ordenador.

También permite vacunar el ordenador para desactivar la ejecución automática tanto en dispositivos USB como CD/DVD, lo que ayuda a frenar la difusión de estos virus que la utilizan.

Esta herramienta no suple a un antivirus que provea de protección permanente a nuestro sistema.

Podemos obtenerlo desde:

http://gratis.pandasecurity.com/

¿Qué programa podemos utilizar para realizar la desinfección?

Adware

Avast

Avg

http://cert.inteco.es/software/Proteccion/utiles_gratuitos/Utiles_gratuitos_listado/?id

Label=2230188&idUser=&idPlatform