16 - Recuperación de sistemas infectados - 03/09/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Hace un tiempo un buen amigo me pidió que vuelva a escribir sobre virus... ellos, mis grandes amores y el principio de mi historia en seguridad informática.
Es difícil escribir sobre virus sin caer en la facilidad y falsedad.

Así que decidí no escribir sobre la prevención, que debería ser el tema principal; decidí no escribir sobre la detección, que es el tema favorito de las casas antivirus por el famoso "quien la tiene mas grande"... la base mas grande que detecta la mayor cantidad de virus; decidí no escribir sobre la heurística, tema en el que deberían estar trabajando las casas antivirus, en paralelo con sus millonarias campañas publicitarias.

Hoy hablaré sobre el post-morten, la post-infección, el post-ataque, los pasos necesarios para volver un sistema afectado a la "normalidad", es decir, hablaré de la recuperación.

En el caso ideal, existe un tiempo "muerto" entre la detección de un malware y la publicación de la solución por parte de los antivirus. También existe este tiempo entre la publicación de la firma, que identifica a cada malware, por parte de los antivirus y su aplicación por parte del usuario. Estos tiempos son variables (medidos en horas o pocos días) y cuanto mayores sean, mayor será la posibilidad de infección.
Como puede verse esta técnica es reactiva y consiste en actuar luego de sucedido el hecho.
Actualmente los distribuidores de malwares liberan multiples versiones del mismo malware para asegurar la mayor cantidad de infecciones posibles. En el caso de los antivirus con capacidades de acción proactiva, el porcentaje de detección aumenta considerablemente, y por ende la posibilidad de infección disminuye notablemente.

Actuar en forma proactiva para prevenir es fundamental, pero cuando todo falla es imperioso contar con una copia de seguridad (backup) ya que será nuestra única via de recuperación asegurada. Ahora, si el backup no existe o el mismo está desactualizado, ¿quedan alternativas de recuperación?.

Es un hecho que al no haber prevención y que si las empresas no consideran un enfoque proactivo serio, el usuario debe terminar recuperando los daños ocasionados por un virus, gusano o cualquier otro malware por sí mismo.

Existen casos en los que remover un virus va mucho mas allá de correr un antivirus actualizado y que el mismo se encargue de la plaga en la que puede haberse convertido nuestro sistema. En otros casos el malware se encarga de limitar o eliminar la conexión a ciertas sitios de internet por lo que la actualización del antivirus no puede llevarse a cabo.
En estos casos la desinfección debe llevarse a cabo "manualmente" y la misma puede incluir cambios en el registro, en archivos de configuración, eliminación de archivos dañinos del malware y reemplazo de los archivos afectados del sistema.

Para esta recuperación manual deben seguirse ciertos pasos y contarse con ciertas herramientas y es recomendable que las mismas estén al alcance de la mano ya que recordemos que generalmente no tendremos la red disponible.

A continuación se detalla un procedimiento normal de desinfección y/o recuperación:

  • La práctica recomienda arrancar Windows a prueba de fallos. Esto está justificado porque en este modo de diagnóstico sólo se cargan los componentes indispensables para que se ejecute el sistema operativo y muchos de los programas que se ejecutan al inicio no se cargarán. De esta forma se previene que el malware, que generalmente arranca con el sistema operativo, no se dispare y se pueda llevar la desinfección con tranquilidad. Cabe aclarar que en este modo, generalmente no se encuentran disponibles algunas funciones como la conexión a la red o a Internet.
  • En muchas oportunidades no será suficiente arrancar en el modo anterior, por lo que será necesario contar con cualquier dispositivo booteable (disquette/CD/DVD/USB/LAN) con un sistema operativo que soporte el sistema de archivos al que deseemos ingresar.
    Así por ejemplo si disponemos de DOS o Windows 9x con solo MSDOS, DRDOS, FreeDOS o un disco booteable de Win 9x será suficiente para reconocer FAT16 o FAT32.
    Si disponemos de Windows NT o 2x con el el sistema de archivos NTFS será necesario arrancar con algun sistema operativo portable que permita la lectura/escritura de este tipo de sistema de archivos. Actualmente existen diversas versiones portables ya sea de Windows o de Linux que pueden hacer esto sin problemas.
  • Será necesario contar con los CD de instalación del sistema operativo afectado ya que muchas veces se deberán restaurar archivos del sistema que hayan sido dañados. Si disponemos de copias de seguridad de los programas instalados y de sus documentos, estos también serán necesarios al igual que las herramientas de recuperación (restore) de los mismos.
  • En cualquier caso es recomendable desconectarse de la red local o de Internet para evitar la propagación del malware o de una re-infección en el caso que la misma se produzca por alguna vulnerabilidad propia de Windows. Si es necesario conectarse a Internet, puede hacerse desde un sistema no comprometido.
  • Será necesario reconocer el tipo de malware con el que hemos sido infectado. Para ello será necesario contar con un antivirus portable y actualizado que nos permita ejecutar herramientas específicas de detección y desinfección. Podemos tener el mismo en cualquier medio de almacenamiento o en algún recurso de red o Internet. Si decidimos seguir conectados, en algunas oportunidades puede ser útil scanear el sistema con un antivirus o herramienta online.
  • Una vez identificada la amenaza es necesario obtener la mayor cantidad de información posible de la misma. Esta información puede ser obtenida desde los sitios web de las empresas antivirus.
  • Para la desinfección es imprescindible haber identificado la amenaza. Luego podrán seguirse los pasos de desinfección manuales recomendados según el caso. Estos pasos pueden variar dependiendo del malware pero generalmente suelen incluir:
    • Si aún estamos conectados a la red, descompartir todos los recursos compartidos o colocarles claves no triviales.
    • Muchos malwares ocultan su presencia en el sistema por lo que es recomendable contar con un herramienta capaz de visualizar los procesos activos.
    • Verificar los archivos hosts, win.ini, autoexec.bat, config.sys, system.ini para detectar la ejecución de archivos que no sean del sistema.
      Verificar la página de inicio del navegador de Internet.
    • Una vez obtenidos los archivos del malware se procederá a su eliminación y el vaciado de la papelera de reciclaje y de los archivos temporales, lugar utilizado frecuentemente por los malwares.
    • Verificar las siguientes claves del registro para HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER
      - \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      - \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
      - \SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
      - \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
      En las mismas deben encontrarse programas conocidos e instalados por nosotros. Si dudamos de algunas de estos programas puede obtenerse información sobre los mismos verificando el fabricante, versión y fecha del archivo asociado. Si hemos booteado con un Linux no podremos realizar este paso, pero la anterior eliminación de los archivos específicos del malware nos asegurarán que los programas dañinos no se ejecutarán en el próximo booteo.
  • Por último será necesario restaurar todos los archivos dañados y si es necesario actualizar el sistema operativo para evitar re-infecciones del mismo malware o de otros similares que se aprovechen de la misma vulnerabilidad.

Sitios recomendados:

Buenos Aires, 03 de agosto de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto