Se dan laS instrucciones de la práctica a seguir
1. Bajar virus de Internet.
2. Contaminar Windows XP con el primer virus
3. Apagar la maquina y reiniciar el sistema
4. Miramos los síntomas que presenta nuestro equipo
5. Aplicar su antivirus favorito e intentar remover el virus
6. Luego con la utilización del F-pro miramos por DOS si ha sido removido
7. Conclusiones.. y Notas.
Realización de trabajo
1. Bajar virus de Internet
Los virus fueron descargados desde la pagina: http://www.trojanfrance.com .Descargamos varios para ver sus diferentes reacciones.
2. Luego contaminamos nuestro equipo con estos archivos comprimidos. Haciendo doble clic en los .exe. Y desactivando el antivirus
3. Apagar el equipo y se reinicio el sistema.
4. Apagar el equipo y se reinicio el sistema. Pues se demoro más de lo usual en tiempo de arranque. Luego aparentemente todo funcionaba muy bien hasta que :
Demora en el momento de entrar al escritorio
El Mouse empezó a moverse solo
Luego empezó a abrirse ventanas que nunca abrimos
Los procesos como minimizar una ventana se demoraba más de tiempo.
Y luego se bloqueaba. Hasta que ya no respondía a ninguna orden. La única opción fue restaurarlo.
5. Aplicar antivirus favorito y remover virus.
El antivirus que instale fue en avast 4.8 .
En el momento que se esta realizando el escaneo se dispara otra ventana que indica que ha encontrado virus.
Entonces para removerlo le damos la opción de eliminar. Se sigue haciendo el escaneo y se vuelve a disparar varias ventanas. Luego que termina el escaneo vemos es resumen del escaneo y miramos que virus hemos removido.
Ficha técnica de los virus
Trojan-Downloader.Banload
Tipo: Malware
Tipo descripción: Malware ("malicious software").De software malicioso con claridad, hostil, o perjudiciales o funcionalidad y comportamiento que se utiliza para comprometer y poner en peligro ordenadores individuales, así como redes enteras.
Virus.Win32.Gpcode.ak
Plataforma: Win32
Detalles técnicos: Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. El gusano es una aplicación para Windows (archivo PE EXE) y tiene un tamaño de 8030 bytes.
Después, el virus empieza a hacer un barrido de todos los disco lógicos en busca de ficheros para cifrarlos. El virus cifra todos los ficheros del usuario que tienen las siguientes extensiones:
7z, abk,abd,acad, arh,arj,ace,arx,asm,bz,bz2, bak,bcb,c,cc,cdb, cdw,cdr,cer,cgi,chm, cnt,cpp,css,csv,db,db1,db2.
Para cifrar los ficheros el virus usa un criptoalgoritmo integrado en el sistema Windows (Microsoft Enhaced Cryptographic Provider v1.0). Los ficheros se cifran mediante el algoritmo RC4. La llave de cifrado se cifra con una llave abierta RSA de 1024 bits contenida en el cuerpo del virus.
Trojan-Downloader.Win32.QQHelper.ay
Type: Malware
Detalles técnicos: Este programa troyano está diseñado para descargar otros adware y programas troyanos por Internet.
El Troyano en sí es un archivo PE EXE de Windows y está escrito en. C++. El tamaño del archivo es de 118784 bytes.
Formas de infectarse con troyanos
La mayoría de infecciones con troyanos ocurren cuando se engaña al usuario para ejecutar un programa infectado – por ello se avisa de no abrir datos adjuntos de correos electrónicos desconocidos -. El programa es normalmente una animación interesante o una foto llamativa, pero tras la escena, el troyano infecta la computadora una vez abierta, mientras el usuario lo desconoce totalmente. El programa infectado no tiene por qué llegar exclusivamente en forma de e-mail. Puede ser enviado en forma de mensaje instantáneo, descargado de una página de internet o un sitio FTP, o incluso estar incluido en un CD o un diskette (La infección por vía física es poco común, pero de ser un objetivo específico de un ataque, sería una forma sencilla de infectar tu sistema) Es más, un programa infectado puede venir de alguien que utiliza tu equipo y lo carga manualmente. Las probabilidades de recibir un virus de este tipo por medio de mensajería instantánea son mínimas, y normalmente, como se ha dicho, el modo más común de infectarse es por medio de una descarga.
Por medio de sitios Web: Tu ordenador puede infectarse mediante visitas a sitios web poco confiables.
Correo electrónico: Si usas Microsoft Outlook, eres vulnerable a la mayoría de problemas de protección contra programas de este tipo que tiene Internet Explorer, incluso si no usas IE directamente.
Puertos abiertos: Los ordenadores que ejecutan sus propios servidores (HTTP, FTP, o SMTP, por ejemplo), permitiendo la compartición de archivos de Windows, o ejecutando programas con capacidad para compartir archivos, como los de mensajería instantánea (AOL's AIM, MSN Messenger, etc.) pueden tener vulnerabilidades similares a las descritas anteriormente. Estos programas y servicios suelen abrir algún puerto de red proporcionando a los atacantes modos de interacción con estos programas mediantes ellos desde cualquier lugar. Este tipo de vulnerabilidades que permiten la entrada remota no autorizada a los sistemas se encuentran regularmente en muchos programas, de modo que estos deberían evitarse en lo posible o asegurarse de que se ha protegido el equipo mediante software de seguridad.
Se pueden usar un determinado tipo de programas llamados cortafuegos para controlar y limitar el acceso a los puertos abiertos en un equipo. Los cortafuegos se utilizan ampliamente y ayudan a mitigar los problemas de entrada remota de troyanos por medio de puertos de red abiertos, pero en cualquier caso no existe ninguna solución perfecta e impenetrable.
6. Utilización de F- PRO
Ya removidos los virus con el antivirus entonces verificamos con el F-PRO. Lo utilizamos bajo DOS.
Iniciamos desde el CD, luego damos el comando de F-PRO y nos saldrá una ventana de DOS:
Scan: en esta opción podemos escoger la partición que queremos escanear.
Options: en esta opción podemos escoger el tipo de escaneo que queremos realizar.
Information: Aquí podemos observar que virus encontró y que acción se realizo con ellos
Quit: para salir del F-Pro.
Escogemos la opción de desinfectar automáticamente
Luego empezamos el escaneo y este no tarda mas de Cuatro minutos:
Depuse del escaneo sale la ventana de resumen de acciones.
Luego salimos del F-pro y reiniciamos nuestro equipo.
7. Conclusiones.. y Notas.
Cuando se restauro la maquina después de instalarle el virus en el momento de arrancar se demoro mas de cinco minutos. Esto era muy sospecho.
Después de reiniciar, el virus daño el antivirus que estaba en ese momento instalado entonces toco instalar otro y actualizado.
Después de ejecutar el F-pro decía que no habían virus en el sistema, pero al momento de ejecutar el avast encontraba más. Y observando muy bien el f-pro era que no estaba actualizado sino hasta mayo y el Avast se actualizo a penas se prendió el PC.
NOTA: Día a día van creando nuevos virus no debemos hacer una tragedia de esto, tenemos que aprender a convivir con ellos. Y a manejarlos pues siempre va a ver uno que el motor del antivirus no reconosca.
