16 - Recuperación de sistemas infectados - 03/09/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar



Hace un tiempo un buen amigo me pidió que vuelva a escribir sobre virus... ellos, mis grandes amores y el principio de mi historia en seguridad informática.
Es difícil escribir sobre virus sin caer en la facilidad y falsedad.

Así que decidí no escribir sobre la prevención, que debería ser el tema principal; decidí no escribir sobre la detección, que es el tema favorito de las casas antivirus por el famoso "quien la tiene mas grande"... la base mas grande que detecta la mayor cantidad de virus; decidí no escribir sobre la heurística, tema en el que deberían estar trabajando las casas antivirus, en paralelo con sus millonarias campañas publicitarias.


Hoy hablaré sobre el post-morten, la post-infección, el post-ataque, los pasos necesarios para volver un sistema afectado a la "normalidad", es decir, hablaré de la recuperación.


En el caso ideal, existe un tiempo "muerto" entre la detección de un malware y la publicación de la solución por parte de los antivirus. También existe este tiempo entre la publicación de la firma, que identifica a cada malware, por parte de los antivirus y su aplicación por parte del usuario. Estos tiempos son variables (medidos en horas o pocos días) y cuanto mayores sean, mayor será la posibilidad de infección.
Como puede verse esta técnica es reactiva y consiste en actuar luego de sucedido el hecho.
Actualmente los distribuidores de malwares liberan multiples versiones del mismo malware para asegurar la mayor cantidad de infecciones posibles. En el caso de los antivirus con capacidades de acción proactiva, el porcentaje de detección aumenta considerablemente, y por ende la posibilidad de infección disminuye notablemente.


Actuar en forma proactiva para prevenir es fundamental, pero cuando todo falla es imperioso contar con una copia de seguridad (backup) ya que será nuestra única via de recuperación asegurada. Ahora, si el backup no existe o el mismo está desactualizado, ¿quedan alternativas de recuperación?.


Es un hecho que al no haber prevención y que si las empresas no consideran un enfoque proactivo serio, el usuario debe terminar recuperando los daños ocasionados por un virus, gusano o cualquier otro malware por sí mismo.


Existen casos en los que remover un virus va mucho mas allá de correr un antivirus actualizado y que el mismo se encargue de la plaga en la que puede haberse convertido nuestro sistema. En otros casos el malware se encarga de limitar o eliminar la conexión a ciertas sitios de internet por lo que la actualización del antivirus no puede llevarse a cabo.
En estos casos la desinfección debe llevarse a cabo "manualmente" y la misma puede incluir cambios en el registro, en archivos de configuración, eliminación de archivos dañinos del malware y reemplazo de los archivos afectados del sistema.

Para esta recuperación manual deben seguirse ciertos pasos y contarse con ciertas herramientas y es recomendable que las mismas estén al alcance de la mano ya que recordemos que generalmente no tendremos la red disponible.


A continuación se detalla un procedimiento normal de desinfección y/o recuperación:

Sitios recomendados:




Buenos Aires, 03 de agosto de 2005



Actualidad

Virus-Antivirus