Muy a tono con la salida de Hunter Console me decidí a escribir este artículo en el que, más que quitar un virus en específico, trato de mostrar como lidiar con estas molestas aplicaciones y, además de perderles el miedo, saber como mantenerlas “controladas”
No pienso hablarles de mostrar todos los archivos, o de no confiar ni en el mejor antivirus porque en realidad sobre esos temas se a hablado bastante ya en BlackHat, así que me centraré más en que hacer una vez que sabemos que el archivo xxxxx.xxx es un virus.
Step #1: Identificación
Lo primero es tomar la mayor cantidad de datos del virus que nos sea posible. Fecha de creación, de modificación, tamaño, nombre y extensión, saber si se hace acompañar de otros archivos y en caso que así sea hacer la misma identificación con los mismos, ver que valores tiene en las propiedades, saber si está compactado usando UPX… en fin, todo; a veces son esos pequeños detalles los que nos ayudan a identificarlo y eliminarlo de forma efectiva.Step #2: Instalación
Una vez que ya tenemos todo lo que necesitamos (o lo que hemos podido conseguir), nos dispondremos a la ejecución del programa maligno como tal, pero antes deberemos haber asegurado nuestra información.Para esto haremos una copia del registro de Windows, una salva de los archivos más importantes y que no queremos perder bajo ningún concepto; en fin, salvar todo lo que podamos, pues nunca sabemos a que tipo de virus nos enfrentamos y así como puede ser una de las tantas “caras” del kavo, puede ser otro no tan benévolo y ….
Luego de la ejecución, para ver en realidad que es lo que ha hecho es recomendable que se reinicie, pero antes de reiniciar nos tomaremos unos segundos para analizar si ya a ocultado los archivos marcados como ocultos y protegidos por el sistema, y otros pequeños detalles que, si bien quizás no nos sirvan para eliminarlo, si nos darán una idea de cuan dañino puede ser.
Step #3: Evaluación de daños
Es quizás este el momento en que en verdad estaremos quitando el virus. Una vez que el ordenador se reinicie, deberemos hacer una revisión a fondo de las cosas que tenemos y que antes no estaban o de las cosas que antes podíamos ver y ahora no.Dentro de esta fase entraría la verificación de las herramientas, que no es más que saber con que podemos o no contar para ayudarnos a liberarnos del “tormento”. Muchos virus, para lograr permanecer en la máquina el mayor tiempo posible, tratan de deshabilitarnos o quitarnos el acceso a ciertas partes o archivos de la máquina, haciendo más difícil el proceso de eliminación de la aplicación, en este caso me viene a la mente el runauto, que creaba una carpeta a la que no se podía tener acceso haciendo imposible ver su contenido y muchos otros virus que deniegan el acceso al registro.
Las principales herramientas a verificar son:
Administrador de Tareas (Ctrl + Alt + Del)
Consola (cmd.exe)
Acceso al registro
Acceso a las carpetas del sistema (Windows, System, System32…)
Con un buen uso de las “armas” disponibles, podemos ver con facilidad en que lugar se encuentra el virus instalado y sabiendo su nombre podemos realizar una búsqueda en el registro con el fin de eliminar la clave que se encarga de ejecutarlo de forma automática al inicio de sesión.
Habiendo hecho todo esto y teniendo casi plena confianza de que lo hemos eliminado de forma correcta, como método de comprobación podemos utilizar un reinicio del sistema y ver si los cambios que hemos hecho se conservan, en caso que no, entonces tendríamos que repetir el proceso una y otra vez hasta estar completamente seguros.
Conclusiones
Antes de terminar me gustaría aclarar que esto no es un método oficial ni nada por el estilo, es solo un artículo escrito a partir de la experiencia que da la prueba y error y que, por no contar con esta información de antemano, en un inicio me llevó a muchos formateos innecesarios.Como tal no existe –que yo sepa- un librito mágico que enseñe como quitar un virus, ya que cada cual utiliza métodos distintos de infección. El librito se lo va escribiendo uno mismo en base a las experiencias por las que haya pasado.
Nota: Para más información sobre virus leer ediciones anteriores de BlackHat
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario