Realizar una correcta desinfección
Después de todo, ¿qué debemos hacer si al realizar las técnicas aprendidas anteriormente detectamos la presencia de un malware en nuestro equipo? El primer paso siempre es desconectar el sistema de internet. De este modo romperemos la conexión que el atacante pudiera tener con nosotros, lo cual disminuye los riesgos. Seguido a esto, nos ponemos a desinfectar el equipo.Matar el proceso del malware no es suficiente. Si sólo hacemos eso, al reiniciar el equipo se vuelve a ejecutar el código malicioso y seguiremos infectados. La desinfección es todo un proceso, que podemos llevarlo a cabo manualmente o con la ayuda de herramientas especializadas.
Desinfección manual
Al realizar las técnicas de detección, obtuvimos información sobre el malware que se aloja en el sistema (por ejemplo el proceso que utiliza o vimos el nombre del ejecutable en las conexiones y el registro). Utilizaremos estos datos para encontrar la ubicación exacta del malware en nuestro equipo; por lo general se copian a la carpeta System32, Windows, Users, AppData o Temp. Una vez localizado, si hemos matado su proceso, podremos eliminar el ejecutable sin problemas.También tenemos que eliminar la entrada del malware en el registro, algo que podemos hacer desde el mismo Regedit: click derecho del mouse sobre la entrada Eliminar.
La entrada del malware en el registro delata su ubicación.
Una vez hecho esto reiniciamos el equipo y, cuando arranque nuevamente, volvemos a revisar los procesos, las conexiones y las entradas en el registro para asegurarnos de que el malware definitivamente quedó erradicado de nuestro sistema.
En el caso de que vuelva a aparecer el proceso del malware, tendremos que analizar su ejecutable con herramientas más complejas que nos ayudarán a determinar qué componentes le permiten seguir ejecutándose en nuestro sistema. Este análisis más profundo lo dejaremos para la próxima clase, donde haremos uso de la suite SysInternals.
Herramientas que nos ayudan
Más allá de las soluciones antimalware que nos ayudan a detectar y desinfectar todo tipo de códigos maliciosos, también existen otras herramientas para realizar desinfecciones, que son más específicas respecto al subtipo de malware que combaten. Por lo general suelen ser livianas y dan muy buenos resultados, a continuación mostramos algunas de ellas:TrojanHunter - www.trojanhunter.com
Es una de las herramientas antitroyanos más utilizada. Posee una buena tasa de detección y es muy rápido a la hora de ejecutar escaneos en el sistema. Analiza la memoria del equipo, el registro, los archivos y documentos comprimidos, entre otros.
Interfaz de usuario de la herramienta antitroyanos TrojanHunter.
SpyBot S&D - www.safer-networking.org
SpyBot es un excelente antispyware que ha recibido numerosos premios y posee una versión gratuita. Además, contiene algunas funcionalidades extras como para detectar rootkits en el sistema, entre otras cosas.
Interfaz de usuario de la herramienta antispyware SpyBot S&D.
Ad-Aware - es.lavasoft.com
Ad-Aware es el complemento ideal para la solución antimalware que tengamos instalado en nuestro equipo. Puede detectar y eliminar Adware y Spyware, aunque también posee la opción de instalarse como antivirus. En ese caso, será capaz de detectar aún más subtipos de malware.
Interfaz de usuario de la herramienta antispyware Ad-Aware.
Kaspersky antirootkit TDSSKiller - media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe
El conocido antivirus Kaspersky nos ofrece una herramienta gratuita para escanear nuestro equipo en busca de rootkits y, en caso de que se encuentren, podremos eliminarlos. Si bien es fácil de instalar y rápido de usar, encontremos documentación detallada al respecto en el sitio web:
http://support.kaspersky.com/viruses/disinfection/5350#block1
Herramienta antirootkit de Kaspersky.
0 Comentarios