top of page
Emsisoft

Los Fundamentos de la Identificación y Eliminación Manual de Malware


Al hablar sobre la lucha contra el malware, el enfoque generalmente se centra en qué tan bien el software de seguridad protege las computadoras contra el malware. La protección contra malware (comúnmente software antivirus y antimalware) es sin duda una de las defensas más importantes que las computadoras necesitan, pero ¿qué haces si tu máquina se infecta antes de que puedas instalar programas de seguridad?

Particularmente cuando trabajas en un entorno de reparación o mantenimiento de computadoras, puedes encontrar computadoras que ya están infectadas. En tales casos, instalar y ejecutar un programa de seguridad puede no ser suficiente para eliminar todo el malware. Si bien el asesoramiento de prevención es invaluable, realmente no ayuda mucho si tienes una computadora que ya está infectada. El primer paso sería descargar y ejecutar un escáner de malware (como nuestro kit gratuito de emergencia de Emsisoft). Idealmente, dicho escáner se haría cargo de todo el malware, aunque puede que no sea así en algunos casos debido a lo siguiente:

  • El malware ya ha tenido la oportunidad de instalarse sin verse obstaculizado por el software de seguridad que se haya instalado (si lo hubiera). Eso significa que el malware podría protegerse contra su detección o eliminación, o simplemente es demasiado nuevo o raro para ser detectado y eliminado correctamente todavía.

  • El malware puede evitar activamente que se instale o se inicie el software de seguridad, es decir, que ya se está ejecutando mientras el escáner no lo estaba, y por lo tanto puede interceptar el producto de seguridad antes de que pueda ejecutarse o escanearse.

  • Incluso si el sistema se puede escanear con éxito, muchos productos de seguridad se basan en análisis de comportamiento o heurísticos para identificar todo el malware. Esto requiere estar activo antes de que el malware se ejecute inicialmente para que pueda ser interceptado antes de la infección. Ejecutar un escaneo después de que el malware ya se haya instalado en su mayoría hace que esta capacidad sea sustancialmente menos efectiva, lo que puede llevar a que se detecte malware en parte.

Eliminación Manual de Malware

En este punto, tener una computadora que todavía está infectada, el siguiente paso es la eliminación manual de malware. Esta puede ser una tarea desalentadora, especialmente cuando no está familiarizado con la identificación de malware, y menos aún eliminándolo. ¿Dónde debería empezar a buscar y, lo que es más importante, cómo puede saber si un archivo, carpeta u objeto de registro es malicioso o no? Puede intentar realizar una búsqueda en la web de los nombres de los archivos, pero por cada archivo legítimo de Windows, hay varios resultados de búsqueda que afirman que son malos.

Afortunadamente, hay varias herramientas que se pueden utilizar para obtener una visión general de lo que está sucediendo en una computadora. Hemos optado por demostrar cómo la eliminación de malware se puede hacer mediante Autoruns, una de las herramientas más populares disponibles para la tarea. Autoruns está desarrollado por Microsoft SysInternals y está disponible gratuitamente para que cualquiera lo use.

Entonces, ¿cuál es la diferencia entre un escáner automatizado como Emsisoft Emergency Kit y una aplicación de registro como Autoruns? Un escáner automatizado revisará el sistema de archivos y el registro para ver si algún objeto coincide con cualquiera de sus definiciones de malware. Por otro lado, una aplicación de registro mostrará qué archivos están configurados para comenzar con el inicio de Windows y en qué punto se supone que deben iniciarse. Algunos también mostrarán qué procesos se estaban ejecutando cuando se realizó el escaneo. Autoruns está diseñado para el primero. Depende de quien ejecuta la aplicación determinar si los objetos mostrados son legítimos o no (Nota: la mayoría de las aplicaciones de registro tienen una lista blanca que excluirá las entradas buenas conocidas que no se pueden usar con fines maliciosos).

Identificación de Malware

Esto nos lleva al paso más importante en la eliminación manual de malware: identificación. No hay un botón mágico de "corrección" para hacer que todas las entradas sospechosas desaparezcan (¡al menos no todavía!). Primero deberá determinar donde ir. Esto no significa que deba realizar un complicado análisis de malware; en la mayoría de los casos, el conocimiento básico de Windows combinado con la lógica común es muy útil. (Nota: la familiarización con el Registro de Windows es muy recomendable en este momento. Si no está familiarizado con el Registro de Windows, se recomienda comenzar a leerlo. Comience aquí).

Cuando el malware llega a un sistema, querrá asegurarse de que se ejecute cada vez que se inicia la computadora. Esto significa que cuando se busca malware, lo primero que interesa es el llamado punto de carga. Si lo encuentra, generalmente también tiene una idea de en qué parte del sistema de archivos se encuentra el malware. Autoruns (como su nombre lo sugiere) nos proporciona convenientemente una visión general de la mayoría de los puntos de carga que se pueden usar en Windows.

Ahora puede sonar más fácil decirlo que hacerlo, pero para identificar una entrada maliciosa, hay otra habilidad que debe dominar también: Identificación de objetos legítimos. Por esa razón, antes de investigar una infección de malware simple, echemos un vistazo a una entrada de muestra que está presente en una instalación limpia de Windows 10. A continuación se muestra una imagen de un escaneo Autoruns (Figura 1). Comencemos en la parte superior.

Figura 1: Escaneo Autoruns - AlternateShell / cmd.exe

El primer archivo que vemos es cmd.exe, que se enumera bajo una clave de registro llamada AlternateShell. Para determinar si esto es legítimo, dos cosas son de interés:

  1. ¿El archivo es legítimo? ¿Es este el verdadero cmd.exe de Windows o es algo que se llama a sí mismo cmd.exe para engañarnos?

  2. ¿Es el punto de carga normal para este archivo?

También podemos buscar "cmd.exe" en línea (haciendo clic derecho en la entrada y seleccionando Buscar en línea). En la primera página de los resultados de búsqueda encontrará explicaciones de lo que es el archivo cmd.exe legítimo, pero también ejemplos de cómo el malware puede usar este nombre de archivo, por lo que no es realmente concluyente. Para asegurarse de que este es un archivo legítimo de Windows, podemos verificar su ubicación (por defecto es la carpeta system32) y escanearlo en VirusTotal (haga clic derecho y seleccione Enviar a VirusTotal). En este caso, el archivo es legítimo.

La búsqueda de "AlternateShell" también resulta útil. Un resultado de búsqueda de Microsoft Technet resume el propósito de AlternateShell como "Enumera el nombre del entorno alternativo utilizado cuando se selecciona la opción Modo a prueba de errores con el símbolo del sistema".

También vemos que cmd.exe es el valor predeterminado, lo que significa que la entrada de línea cmd.exe / Alternateshell en nuestro informe Autoruns es legítima y se puede ignorar, al menos cuando se trata de eliminar malware. (Nota: esto es cierto en la mayoría de los casos. Sin embargo, existe un caso externo, en el que se reemplazó una entrada legítima con un nombre de archivo legítimo por una copia maliciosa, ¡tema para otro día!).

Continuando, echemos un vistazo a una simple infección de malware a continuación. La muestra de troyano utilizada se puede encontrar aquí. Con este malware instalado en el sistema, Autoruns se ve de la siguiente manera:

Figura 2: Escaneo Autoruns - Muestra Troyano

A primera vista, esto podría parecer una gran cantidad de datos muy confusos, pero afortunadamente Autoruns ordena los datos recopilados por punto de carga. También mostrará la ubicación de cualquier punto de carga que pueda ser, por ejemplo, en el registro o en el sistema de archivos. Cuando comenzamos a analizar los datos en el informe (ver Figura 2), dos líneas saltan: ambos contienen una cadena de letras y números, mientras que todos los demás objetos tienen un nombre humanamente legible de algún tipo. Según Autoruns, los objetos se encuentran en:

  • HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

  • C: \ Users \ Admin \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

Puede ver que la primera entrada cuestionable es una clave de registro y la segunda, una carpeta. Estas dos ubicaciones se encuentran entre los puntos de carga más utilizados por malware y aplicaciones legítimas. Si desea asegurarse de que su aplicación se ejecuta cuando se inicia Windows, puede usar cualquiera de estas ubicaciones.

Comencemos con el punto de carga más fácil: la carpeta de Inicio. De acuerdo con Autoruns, un archivo llamado "edf6e17148b3b3408342ac7be2e79536.exe" se encuentra en esa carpeta. Antes de seguir buscando, esto ya genera dos señales de alerta:

  1. Por lo general, espera ver atajos (.lnk) en la carpeta de Inicio que ejecutará una aplicación al inicio, no el archivo ejecutable (.exe).

  2. El nombre del archivo es simplemente una cadena de aspecto aleatorio, sin indicación de lo que podría cargar. Esperaría un nombre que indique qué aplicación está cargada, en combinación con esa aplicación que realmente está presente en la computadora.

Para confirmar nuestra sospecha aquí, podemos hacer clic derecho en el objeto en Autoruns y seleccionar la opción "Comprobar VirusTotal". Esto proporcionará un enlace a los resultados del análisis de VirusTotal, que confirma que el archivo es realmente malicioso y debe eliminarse.

Ahora pasemos al otro punto de carga, el valor de ejecución. Si abrimos esta entrada en Regedit haciendo clic derecho y seleccionando "Saltar a la Entrada", esto es lo que vemos (ver Figura 3):

Figura 3: Regedit Snapshot

Nuevamente, sin siquiera verificar los detalles del archivo, ya hay algunas campanas de alarma sonando porque:

  1. El nombre de valor es una cadena de aspecto aleatorio sin ninguna indicación de qué programa se está ejecutando.

  2. Los datos de valor apuntan a un archivo llamado svhost.exe en la carpeta Temp, que no debe confundirse con svchost.exe, que puede ser un archivo legítimo de Windows que normalmente reside en \ Windows \ system32.

Continuando, vemos que Autoruns proporciona información adicional y ha extraído algunos metadatos del archivo. Podemos verificar esto abriendo el archivo Propiedades (haga clic derecho en el archivo y seleccione Propiedades). (Ver figura 4):

Figura 4: Metadata – svchost.exe

Aparentemente, el nombre del archivo es "Windows Serivce" (suena bastante legítimo, aunque no hay un archivo real de Windows que tenga este nombre de producto y hay un error ortográfico en la palabra "serivce"). El nombre de archivo original es "game.exe", que no es algo normalmente asociado ni a svchost.exe ni a ningún servicio de Windows. Un análisis VirusTotal confirma que este archivo también es malicioso.

Para confirmar si ambos objetos identificados pertenecen a la misma infección o no, puede comparar ambos informes VirusTotal. Puede determinar esto yendo a la pestaña Detalles en los resultados de VirusTotal, y verá que los hash de archivos son idénticos.

Eliminación de Malware

Ahora que hemos identificado dos archivos y un objeto de registro que debe ir, finalmente estamos listos para la eliminación real. Autoruns tiene una opción de "eliminar", pero la muestra de malware que estamos estudiando puede estar ejecutándose activamente (y se está ejecutando en este caso). Como se mencionó anteriormente, el malware simplemente puede volver a agregarse si se elimina, o incluso detener el intento de eliminación. Autoruns no puede eliminarlo en ese caso. Podríamos usar el Administrador de tareas de Windows para intentar detener el malware, pero es una opción bastante limitada. Una mejor alternativa, especialmente en la eliminación de malware, es Process Explorer. Process Explorer es una opción particularmente buena porque proporciona mucha más información sobre los procesos enumerados en comparación con el Administrador de tareas, como puede ver aquí.

Entonces, ahora que ya hemos identificado el malware, lo último en nuestra lista es encontrar el proceso ofensivo.

Figura 5: Process Explorer

Como puede ver en la Figura 5, solo uno coincide con todos los detalles de la entrada incorrecta: nuestro nombre svhost.exe, descripción "Serve de Windows" y ubicación de la carpeta Temp (puede ver esto colocando el puntero del mouse sobre la línea). Es importante verificar una coincidencia exacta, especialmente porque "svchost.exe" es un nombre de archivo de Windows legítimo.

Una vez que este proceso se cancela (clic derecho> Proceso de eliminación), todas las entradas identificadas en Autoruns se pueden eliminar sin ningún problema. Tenga en cuenta que si Autoruns elimina un punto de carga de registro, es posible que el archivo asociado deba eliminarse manualmente.

Una solución alternativa sería reiniciar la computadora en modo seguro, que no cargará valores Run ni archivos de carpetas de inicio. Este método habría evitado la descarga adicional de Process Explorer.

¡Esperamos que hayas disfrutado esta introducción a la eliminación de malware! Pronto volveremos con ejemplos más específicos de cómo abordar infecciones específicas (ransomware, PUP, ¡y más!). Mientras tanto, recuerde que la prevención es mejor que curar, comience con un programa antivirus y antimalware sólido y evite el dolor de cabeza por completo.

Descargo de Responsabilidad: este artículo y el próximo seminario web son solo para fines de demostración. Existen multitud de variantes de malware y muchas necesitan un enfoque diferente para la eliminación en comparación con el método presentado aquí. Sabemos que hay excepciones para cada regla y que los métodos no siempre son tan sencillos, especialmente cuando pueden existir múltiples infecciones. Sin embargo, cubrir todas esas excepciones no cumpliría el propósito de esta publicación de blog. Si necesita ayuda para eliminar el malware de su computadora, puede descargar nuestro Kit de Emergencia Emsisoft y comunicarse directamente con nuestros Analistas de Malware.

¡Que tengas un buen día (libre de malware)!

70 visualizaciones

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page