16 - Recuperación de sistemas infectados - 03/09/2005
Autor: Lic. Cristian F. Borghello
http://www.segu-info.com.ar
Hace un tiempo un buen amigo me pidió que vuelva a escribir sobre virus... ellos, mis grandes
amores y el principio de mi historia en seguridad informática.
Es difícil escribir sobre virus sin caer en la facilidad y falsedad.
Así que decidí no escribir sobre la prevención, que debería ser el tema
principal; decidí no escribir sobre la detección, que es el tema favorito de las casas
antivirus por el famoso "quien la tiene mas grande"... la base mas grande que detecta la mayor
cantidad de virus; decidí no escribir sobre la heurística, tema en el que deberían
estar trabajando las casas antivirus, en paralelo con sus millonarias campañas publicitarias.
Hoy hablaré sobre el post-morten, la post-infección, el post-ataque, los pasos necesarios
para volver un sistema afectado a la "normalidad", es decir, hablaré de la
recuperación.
En el caso ideal, existe un tiempo "muerto" entre la detección de un malware y la
publicación de la solución por parte de los antivirus. También existe este tiempo entre
la publicación de la firma, que identifica a cada malware, por parte de los antivirus y su
aplicación por parte del usuario. Estos tiempos son variables (medidos en horas o pocos días)
y cuanto mayores sean, mayor será la posibilidad de infección.
Como puede verse esta técnica es reactiva y consiste en actuar luego
de sucedido el hecho.
Actualmente los distribuidores de malwares liberan multiples versiones del mismo malware para asegurar la mayor
cantidad de infecciones posibles. En el caso de los antivirus con capacidades de acción proactiva,
el porcentaje de detección aumenta considerablemente, y por ende la posibilidad de infección disminuye
notablemente.
Actuar en forma proactiva para prevenir es fundamental, pero cuando todo falla es
imperioso contar con una copia de seguridad (backup) ya que será nuestra única via de recuperación
asegurada. Ahora, si el backup no existe o el mismo está desactualizado, ¿quedan alternativas de
recuperación?.
Es un hecho que al no haber prevención y que si las empresas no consideran un enfoque proactivo serio, el
usuario debe terminar recuperando los daños ocasionados por un virus, gusano o cualquier otro malware por sí
mismo.
Existen casos en los que remover un virus va mucho mas allá de correr un antivirus actualizado y que el mismo
se encargue de la plaga en la que puede haberse convertido nuestro sistema. En otros casos el malware se encarga de
limitar o eliminar la conexión a ciertas sitios de internet por lo que la actualización del antivirus no
puede llevarse a cabo.
En estos casos la desinfección debe llevarse a cabo "manualmente" y la misma puede incluir cambios en
el registro, en archivos de configuración, eliminación de archivos dañinos del malware y reemplazo
de los archivos afectados del sistema.
Para esta recuperación manual deben seguirse ciertos pasos y contarse con ciertas herramientas y es recomendable
que las mismas estén al alcance de la mano ya que recordemos que generalmente no tendremos la red disponible.
A continuación se detalla un procedimiento normal de desinfección y/o recuperación:
- La práctica recomienda arrancar Windows a prueba de fallos. Esto está justificado porque en este modo
de diagnóstico sólo se cargan los componentes indispensables para que se ejecute el sistema operativo y
muchos de los programas que se ejecutan al inicio no se cargarán. De esta forma se previene que el malware, que
generalmente arranca con el sistema operativo, no se dispare y se pueda llevar la desinfección con tranquilidad.
Cabe aclarar que en este modo, generalmente no se encuentran disponibles algunas funciones como la conexión a la
red o a Internet.
- En muchas oportunidades no será suficiente arrancar en el modo anterior, por lo que será necesario
contar con cualquier dispositivo booteable (disquette/CD/DVD/USB/LAN) con un sistema operativo que soporte el sistema de
archivos al que deseemos ingresar.
Así por ejemplo si disponemos de DOS o Windows 9x con solo MSDOS, DRDOS, FreeDOS o un disco booteable de Win 9x
será suficiente para reconocer FAT16 o FAT32.
Si disponemos de Windows NT o 2x con el el sistema de archivos NTFS será necesario arrancar con algun sistema
operativo portable que permita la lectura/escritura de este tipo de sistema de archivos. Actualmente existen diversas
versiones portables ya sea de Windows o de Linux que pueden hacer esto sin problemas.
- Será necesario contar con los CD de instalación del sistema operativo afectado ya que muchas veces se
deberán restaurar archivos del sistema que hayan sido dañados. Si disponemos de copias de seguridad de los
programas instalados y de sus documentos, estos también serán necesarios al igual que las herramientas de
recuperación (restore) de los mismos.
- En cualquier caso es recomendable desconectarse de la red local o de Internet para evitar la propagación del
malware o de una re-infección en el caso que la misma se produzca por alguna vulnerabilidad propia de Windows. Si
es necesario conectarse a Internet, puede hacerse desde un sistema no comprometido.
- Será necesario reconocer el tipo de malware con el que hemos sido infectado. Para ello será necesario
contar con un antivirus portable y actualizado que nos permita ejecutar herramientas específicas de
detección y desinfección. Podemos tener el mismo en cualquier medio de almacenamiento o en algún
recurso de red o Internet. Si decidimos seguir conectados, en algunas oportunidades puede ser útil scanear el
sistema con un antivirus o herramienta online.
- Una vez identificada la amenaza es necesario obtener la mayor cantidad de información posible de la misma.
Esta información puede ser obtenida desde los sitios web de las empresas antivirus.
- Para la desinfección es imprescindible haber identificado la amenaza. Luego podrán seguirse los pasos
de desinfección manuales recomendados según el caso. Estos pasos pueden variar dependiendo del malware pero
generalmente suelen incluir:
- Si aún estamos conectados a la red, descompartir todos los recursos compartidos o colocarles claves no
triviales.
- Muchos malwares ocultan su presencia en el sistema por lo que es recomendable contar con un herramienta capaz de
visualizar los procesos activos.
- Verificar los archivos hosts, win.ini, autoexec.bat, config.sys, system.ini para detectar la ejecución de
archivos que no sean del sistema.
Verificar la página de inicio del navegador de Internet.
- Una vez obtenidos los archivos del malware se procederá a su eliminación y el vaciado de la papelera
de reciclaje y de los archivos temporales, lugar utilizado frecuentemente por los malwares.
- Verificar las siguientes claves del registro para HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER
- \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- \SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
En las mismas deben encontrarse programas conocidos e instalados por nosotros. Si dudamos de algunas de estos programas
puede obtenerse información sobre los mismos verificando el fabricante, versión y fecha del archivo asociado.
Si hemos booteado con un Linux no podremos realizar este paso, pero la anterior eliminación de los archivos
específicos del malware nos asegurarán que los programas dañinos no se ejecutarán en el
próximo booteo.
- Por último será necesario restaurar todos los archivos dañados y si es necesario actualizar el
sistema operativo para evitar re-infecciones del mismo malware o de otros similares que se aprovechen de la misma
vulnerabilidad.
Sitios recomendados:
Buenos Aires, 03 de agosto de 2005