jueves, 26 de marzo de 2015

Análisis de una infección [II de II]

Upss. ¿De que me suena esto?. La página de inicio de Mozilla Firefox también ha sido modificada. Además, el propio Kaspersky me avisa de que la página a la que estoy intentando acceder tiene software malicioso. Todavía me queda Internet Explorer, pero no encuentro el icono por el escritorio. Haré un Inicio -> Buscar programas y archivos y así podré acceder:

Figura 13: búsqueda de Internet Explorer no encuentra el navegador

Nada, que no aparece. De Chrome no me fío, Mozilla tampoco e Internet Explorer no existe. Pues voy a Chrome y me descargo Internet Explorer, lo instalo ya podré seguir buscando información. Abro Chrome para buscar y veo esto:

Figura 14: accesos directos dentro de la página de inicio de Chrome

La página de inicio ahora está bien, pero siguen saliendo restos de las web del buscador My Start Search. De todos modos me deja seguir navegando. Busco Internet Explorer Descarga y encuentro el enlace en la web de Microsoft. 

Figura 15: descarga de Internet Explorer 11 y aviso de actualización de Java

Ya casi lo tengo, pero justo ahora me salta una alerta de que no tengo Java actualizado. A ver si se han colado los bichejos por ahí. Chema Alonso recomienda tener todo actualizado. Va a ser eso. Bueno, actualizo Java y luego instalo Internet Explorer. Pero de repente, Chrome me intenta solucionar todos mis problemas de inseguridad. Un mensaje esperanzador me avisa de que Chrome ha detectado problemas y dispone de una herramienta que lo va a arreglar todo.

Figura 16: herramienta de eliminación de software "beta" de Chrome

Y ¿que hago?. Me pide descargar algo que yo no he solicitado. Esto mismo me suena de la semana pasada y mira ahora como está mi Windows. Pero, si me lo dice Google será bueno. Además, eso de "Herramienta de eliminación de software" me suena de algo, no se, algo de alguna actualización de Windows Update que sale cada dos por tres. Que pesados los de Windows con su actualización todos los meses ahí !!! Pero esta descarga que me recomienda Chrome será mejor por que Chrome es Google y además pone "beta". Si el alfabeto empieza por alfa esto será mejor por que es beta, es como la versión 2.0 de algo.

Figura 17: descargando la aplicación

Vale, ya lo he descargado y ahora lo ejecuto a ver que pasa. Tarda un poquito en hacer un análisis y me dice que ha encontrado una amenaza, pero que la va a eliminar. Vaya, no me dice nada más. ¿Y si la amenaza está dentro de una foto de mi último viaje o dentro de ese fichero excel que llevo toda la tarde preparando? Habrá que fiarse ...

Figura 18: amenazas encontradas

Figura 19: proceso de eliminación del software sospechoso

En la Figura 18 veo que se va a enviar información de mi ordenador a Google. Voy a ver que información se manda haciendo click en el vínculo:

Figura 20: información opcional de mandar a Google

Aparentemente no hay ningún dato personal, pero no lo puedo asegurar. Nos fiaremos del software. De todos modos, si es para que sea mejor la aplicación pues será bueno que lo hagamos. Esperemos que estos datos sean los que se dice. Antes de hacerlo voy a buscar un poco de información sobre esta herramienta a ver de donde viene. En el último paso de la eliminación, hay un link a un fichero de texto inmenso, pero el comienzo del propio fichero es este:

Figura 21: información sobre el envío de información a Google

David M. Gay's floating point routineshttp://www.netlib.org/fp/
/**************************************************************** * * The author of this software is David M. Gay. * * Copyright (c) 1991, 2000, 2001 by Lucent Technologies. * * Permission to use, copy, modify, and distribute this software for any * purpose without fee is hereby granted, provided that this entire notice * is included in all copies of any software which is or includes a copy * or modification of this software and in all copies of the supporting * documentation for such software. * * THIS SOFTWARE IS BEING PROVIDED "AS IS", WITHOUT ANY EXPRESS OR IMPLIED * WARRANTY.  IN PARTICULAR, NEITHER THE AUTHOR NOR LUCENT MAKES ANY * REPRESENTATION OR WARRANTY OF ANY KIND CONCERNING THE MERCHANTABILITY * OF THIS SOFTWARE OR ITS FITNESS FOR ANY PARTICULAR PURPOSE. * ***************************************************************/

¿Será de la empresa desarrolladora? Ni idea, yo no lo se. Ahh, espera que un poco más abajo pone esto:
dynamic annotationshttp://code.google.com/p/data-race-test/wiki/DynamicAnnotations
/* Copyright (c) 2008-2009, Google Inc. * All rights reserved.
Y un poquito más abajo esto:
Paul Hsieh's SuperFastHashhttp://www.azillionmonkeys.com/qed/hash.html
Paul Hsieh OLD BSD license
Copyright (c) 2010, Paul HsiehAll rights reserved.
Y así un sinfín de nombres o empresas. ¿Van a llegar mis datos a todos ellos? Un poco raro todo esto. 

Ya llevo un rato con todas estas tareas. Quiero acabar y continuar con mi trabajo/ocio, no seguir instalando y revisando cosas. Actualizaré Java que era lo que me avisaba antes:

Figura 22: actualización de Java

Listo, a instalar Java. La instalación sale automáticamente al hacer click sobre la notificación emergente que sale abajo a la derecha, sobre el reloj de Windows. El proceso es sencillo y el asistente solo necesita que le hagamos el típico Next -> next -> instalar -> Yes -> si -> si -> que siiii. Todos sería perfecto si no supiera que se va a instalar la versión 7.75 cuando la última disponible es la 8.40 Al final de todo tampoco estaré actualizado. Además al hacer Next -> next -> instalar -> Yes -> si -> si -> que siiii no me he fijado en una ventana intermedia en la que me va a instalar un buscador extra, el ASK:

Figura 23: ventanas de la instalación que debería haber leído

Ya lo he instalado, pero en lugar de un emotivo ¡¡¡ PERFECT !!! final me sale un aviso de que Java no está actualizado. A repetir el proceso:

Figura 24: mensaje desmotivador tras actualizar Java

Ahora si, ya lo tengo actualizado. Actualizaré también Windows mediante Windows Update. Chema recomienda Windows original y tenerlo actualizado. ¿Por que no habré seguido los pasos del tío este del gorro? si al final todo de lo que advierte va a ser verdad !!! Y yo que pensaba que desprestigiaba todo lo que no fuese de Microsoft y que nos vendía la moto y va a resultar que todo es software y puede tener problemas. Si es que todo lo hacen con espagueti code!!!

Figura 25: página principal de Windows Update

Vaya, cuatro actualizaciones que estaban aquí pendientes desde el 13 de enero de este año. Claro, los martes de estos de actualizaciones de Microsoft. ¿Pero a quien se le ocurre sacar actualizaciones en martes y 13? ¿Esos días no era recomendable no encender el ordenador? ¿O eran los viernes 13? Bueno, que son 2 meses y 10 días que he tenido un bug detectado en el ordenador. Voy a ver de que se tratan que igual no son muy importantes los fallos que corrigen estas actualizaciones: 

Figura 26: descripción de fallo de seguridad 3019215

Figura 27: descripción de fallo de seguridad 3022777

Pues si que parecen importantes. Dos de ellas son, una para evitar la elevación de privilegios y otra para evitar la omisión de la característica de seguridad.

Tras todo este trabajo, reinicio, vuelvo a ejecutar Windows Update hasta que ya no salga ninguna actualización pendiente, actualizo los navegadores, vuelvo a analizar con el antivirus y veo que ya no sale nada, ... En fín, parece que ya está. Pero la informática tiene una sorpresa más para mi. Dejo el ordenador encendido un rato y me marcho a realizar otras tareas. Al cabo de media hora regreso y en la pantalla del portátil tengo un regalito en el área de notificación:



Figura 28: regalito final con publicidad

UN POPUP DE ADS !!!! ¡¿ Pero no estaba ya todo limpio ?! 

He intentado recrear esta situación desde la perspectiva de un usuario doméstico al que se le van presentando problemas e intenta ir aplicando soluciones, pero ni las soluciones son fáciles ni muchas veces ofrecen el resultado esperado. Por parte de los desarrolladores pienso que es complicado encontrar el método que sirva para usuarios domésticos, usuarios técnicos y usuarios avanzados, pero al ponerme en la piel del usuario final, veo que la guerra la están ganando los distribuidores de malware. Tendiendo el sistema operativo actualizado, un antivirus original instalado, y todo todo y todo actualizado a la última versión, estás bastante protegido, pero en cuanto se mete cualquier cosa, hay un efecto dominó que va minando el sistema y al final acaba por tomar el control.

Repito las recomendaciones a seguir de forma muy general:
  • Sistema operativo original, actualizado y no discontinuado
  • Programa antivirus original actualizado 
  • Todas la aplicaciones de terceros actualizadas
  • Sospechar de todo lo que nos diga internet


Os pongo de nuevo un vídeo de Chema en el que nos explica aspectos muy interesantes sobre los creadores de malware, su finalidad, como funcionan los zero days, para sirven las actualizaciones, etc.

Vídeo 1: Conferencia: "Thinking about Security" de Chema Alonso presentada el 20 de Diciembre de 2012 dentro del Ciclo de Conferencias de la Escuela Superior de Informática de la Universidad de Castilla-La Mancha



Saludos!

**************************************************************************************
**************************************************************************************

2 comentarios:

  1. Buenas Miniyó,

    Llegados a este punto podrías hacer una cosa, borrar el historial de Windows Update de la siguiente manera;

    1º.- Inicio/ en el buscador escribes 'servicios' lo abres y buscas al final del todo el servicio 'Windows Update' clic derecho sobre el mismo y le das en `detener' y minimiza dicha ventana, no la cierres, ok? hay que detenerlo, de lo contrario no te permitiría seguir con el siguiente paso que es eliminar el contenido de ciertas carpetas que son las que contienen la información y el registro de todos las actualizaciones del sistema desde el primer día, si es que no lo has echo nunca.

    2º.- Ahora sigue la siguiente ruta; C:\Windows\SoftwareDistribution, dentro de la carpeta 'SoftwareDistribution' encontraras varias carpetas y archivos, entre ellas; 'DataStore' y 'Download' entra en ellas de forma independiente y borra el contenido de dichas carpetas, solo el contenido no las carpetas y, no te preocupes, las actualizaciones instaladas no se borran y las que ya están instaladas no te las vuelve a lanzar.

    3º.- Maximiza la carpeta de los servicios de Windows, vuelve a ubicar el servicio 'Windows Update' nuevamente clic derecho sobre el y precede ha iniciar el servicio.

    4º.- Ahora te diriges a la siguiente ruta; Panel de control\Sistema y seguridad\Windows Update, encontraras 'Windows Update' en rojo, desactivado, dale en 'Buscar actualizaciones' y espera a que termine el proceso, seguramente te tire todos los paquetes de idiomas que no hayas instalados, ocultalos todos o ya a decisión de cada uno el instalarlos o no, pero entre las actualizaciones quizás te lance alguna que en su día no se instalaron, ya sea de la categoría que sea, seguridad, software, etc...

    Con ese tipo de infecciones es muy importante borrar todo el contenido del las carpetas 'temp' y '%temp%' de la siguiente manera;

    1º.- Simbolo de Windows+R se habrira 'El Comando Ejecutar' escribes 'temp' (sin comillas) elimnia todo el contenido de dicha carpeta, los archivos que no te permita ellinilarlos es por que estan en uso, dale en 'Omitir' y repite el mismo proceso pero esta vez escribes '%temp%' y nuevamente elimina todo el contenido de dicha carpeta, etc...

    2º.- Por ultimo, vacia la papelera, ya que de no hacerlo seguiria ocupando X espacio evidentemente.

    Que se consigue con este proceso?
    Recuperar posibles actualizaciones que en su día por diferentes motivos no fueron instaladas de forma automática pero que son necesarias para mantener el OS completamente actualizado y al borrar el contenido de las carpetas anteriormente mencionadas, liberar y recuperar así, en caso de no haberlo echo nunca, algo de memoria, en ocasiones son GB ocupados he inutilizables para otro fin.
    Por ejemplo: Guardar Porno >.<

    Por el dia leere a Chema Alonso y por las noches a ti ;-)
    Saludos¡

    ResponderEliminar
  2. Disculpen las faltas de ortografia por favor, veo que hay alguna que otra por hay arriba, pero se entiende no? >.<

    ResponderEliminar

Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.