• Emsisoft

Cómo Realizar la Extracción Manual de PUP


En la publicación previa del blog en nuestra serie de eliminación de malware, cubrimos los conceptos básicos para deshacerse del software malicioso. En este artículo, queremos examinar más de cerca una categoría de malware que es muy común: programas potencialmente no deseados (o PUP, para abreviar).

¿Qué es un Programa Potencialmente No Deseado?

Antes de echar un vistazo más de cerca a la eliminación de PUP, primero analicemos qué es un PUP (y qué no es). Aquí en Emsisoft, nos preguntan de forma regular por qué no detectamos la aplicación X, Y o Z como un PUP.

Tomemos, por ejemplo, objetos de ayuda del navegador, barras de herramientas y optimizadores de PC. Ninguno de estos son intrínsecamente malos o indeseados. Si bien podemos debatir la utilidad de tales aplicaciones, solo pueden considerarse realmente "no deseadas" si se distribuyen de manera engañosa o no ética, o si muestran información falsa o engañosa.

Analizar todos los detalles y las diferencias haría que este artículo fuera innecesariamente largo, pero prestaremos atención a esto en nuestro seminario web dedicado a la eliminación manual de PUP. Para más detalles, verifique el anuncio al final de este artículo.

Tratar con PUP persistentes

Eso nos lleva al primer paso en el proceso manual de eliminación de PUP. Antes de hacer cualquier otra cosa, busque cualquier aplicación no deseada en la lista "Programas y características" y desinstálela. Puede acceder a esta lista en cualquier versión de Windows presionando la tecla Windows y R simultáneamente, lo que abrirá el cuadro Ejecutar. En el campo Abrir, escriba appwiz.cpl y presione enter. Por supuesto, aún debe investigar las entradas desconocidas para comprobar si realmente no son deseadas y / o están relacionadas con los PUP.

En algunos casos, sin embargo, pueden persistir problemas molestos incluso después de desinstalar la aplicación no deseada. Si bien pudimos utilizar las herramientas que usamos en nuestro último artículo para solucionar el problema, cuando se trata de PUP, generalmente es más práctico hacer un inventario de lo que exactamente se ve afectado. Por ejemplo, si ve ventanas emergentes de publicidad en su navegador, tendrá que enfocarse en un área diferente que si viera esas mismas ventanas emergentes en la bandeja del sistema de Windows o en el área de notificaciones. Y en caso de problemas con el navegador, puede reducir rápidamente las áreas afectadas verificando primero si todos los navegadores se han visto afectados o si el problema está contenido en un navegador en particular.

Para resumir, cuando se trata de PUP:

  1. Antes de tratar con PUP, verifique si hay malware real. Eso siempre tiene prioridad debido a su impacto (por ejemplo, los anuncios emergentes pueden ser molestos, pero el malware que roba contraseñas tiene el potencial de hacer mucho más que solo molestarnos).

  2. Verifique la lista de Programas y características y desinstale cualquier programa no deseado. Esto puede parecer obvio, pero te sorprendería saber cuántas personas omiten este paso.

  3. Clasifique los problemas restantes y los componentes afectados (por ejemplo, navegador, notificaciones de Windows, búsquedas, etc.).

  4. Reduzca el problema para cada componente identificado.

Ejemplo de un clásico PUP

Imagine el siguiente escenario: abre una nueva pestaña en su navegador favorito, pero en lugar de abrir las páginas que ha especificado en las preferencias de su navegador, muestra algo más; y en lugar de buscar utilizando el motor de búsqueda especificado, se usa algo más. Intenta modificar la configuración en las preferencias del navegador, pero no importa lo que haga, el problema persiste.

No hay más evidencia de PUP, pero está claro que algo sospechoso todavía está ocurriendo. Abróchate el cinturón - es hora de una limpieza manual de PUP.

Para nuestro ejemplo de eliminación, sigamos con el escenario anterior. No se encontraron malware, no hay PUP visiblemente instalados y las preferencias del navegador se ven bien. Utilizaremos dos navegadores populares, Google Chrome y Mozilla Firefox, para mostrar cuáles serán los siguientes pasos. No usaremos ninguna herramienta especial; lo único que necesitamos son buenas habilidades de investigación en línea y un poco de paciencia.

Eliminando Newtab

En la imagen a continuación, puede ver que se supone que el navegador carga el sitio web de Emsisoft una vez que se abre una nueva pestaña. Sin embargo, esto no sucede. Algo llamado "Newtab" ha cargado en su lugar. A pesar de que Newtab en nuestro ejemplo no es malicioso, esto todavía se considera una forma de secuestro del navegador.

Si hacemos una búsqueda en línea de "Newtab", encontramos un montón de guías de eliminación, pero la mayoría de ellas parecen ser una combinación de herramientas automatizadas en ejecución sin mencionar realmente la eliminación manual.

Echemos un vistazo a la configuración de búsqueda (nota, esta vez se usa Firefox, pero Chrome mostrará algo similar). Aquí notamos algo interesante, el navegador nos dice que una extensión está administrando el motor de búsqueda.

Por supuesto, podríamos simplemente cambiar la configuración de búsqueda, pero aparentemente también hay una extensión involucrada, lo que significa que tendremos que deshacernos de eso también. La mayoría de los navegadores tienen una lista de extensiones donde puede administrar extensiones, pero algunas extensiones usan mecanismos para persistir u ocultarse. Por esta razón, es una buena idea averiguar exactamente cómo el navegador administra extensiones y dónde almacena extensiones y configuraciones relacionadas (nota, utilizamos dos navegadores en este ejemplo, pero esta información debería estar disponible para la mayoría de los navegadores).

¿Dónde se esconden las extensiones?

Tanto Mozilla Firefox como Google Chrome tienen una sólida documentación para los desarrolladores que explica varias formas de cargar las extensiones (está disponible para todos a través de una búsqueda rápida, una habilidad importante aquí). En este caso, podemos encontrar lo siguiente para cada navegador:

Después de leer los artículos anteriores, para resumir, para Chrome necesitamos verificar:

  • % LOCALAPPDATA% \ Google \ Chrome \ User Data \ Default \ Extensions \ <ID de extensión> (Cada extensión tiene una ID de extensión de 32 caracteres asignada).

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Google \ Chrome \ Extensions \ <ID de extensión>

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Google \ Chrome \ Extensions \ <ID de extensión> (para navegadores de 32 bits en versiones de Windows de 64 bits)

Y para Firefox:

  • % APPDATA% \ Mozilla \ Firefox \ Profiles \ <carpeta de perfil> \ extensions \ {<ID de extensión>}. Xpi

  • % APPDATA% \ Mozilla \ Extensions \ {<ID de extensión>}. Xpi

  • HKEY_CURRENT_USER \ Software \ Mozilla \ Firefox \ Extensions

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla \ Firefox \ Extensions

Nota: % APPDATA% se refiere a la carpeta C: \ Users \ <username> \ Appdata \ Roaming,% LOCALAPPDATA% se refiere a la carpeta C: \ Users \ <username> \ Appdata \ Local. "Predeterminado" es el nombre del primer perfil de Chrome registrado, los perfiles adicionales tendrán un nombre de carpeta diferente.

Ahora que tenemos una lista de todas las ubicaciones en las que podría estar escondida una extensión no deseada, veamos si podemos encontrarla y eliminarla. Para hacer eso, necesitamos saber cuál es la ID de la extensión (nota, esto será diferente para cada navegador).

En Google Chrome, escriba chrome: // extensiones en la barra de direcciones y presione Entrar. Ahora verá una lista de extensiones instaladas. Cada entrada tendrá un botón Detalles que, al hacer clic, mostrará la ID de la extensión en la barra de direcciones.

Asegúrese de prestar atención a los permisos enumerados para esta extensión, ya que coinciden con los problemas descritos anteriormente (cambiar la configuración de búsqueda, cambiar la nueva pestaña).

En Mozilla Firefox, escriba about: depuración de # addons en la barra de direcciones y presione enter. Encontrará la extensión que estamos buscando en la lista.

Para resumir, en este momento estamos buscando los siguientes objetos:

  • Oimkbkfjcjimpcamagdlepipkapmbjie en cualquiera de las ubicaciones que identificamos anteriormente para las extensiones de Google Chrome.

  • {125f5269-2f69-401e-b072-40be97188078} en cualquiera de las ubicaciones que identificamos anteriormente para las extensiones de Firefox.

En este caso, las extensiones están presentes en las siguientes ubicaciones:

Estos objetos se pueden eliminar fácilmente. Sin embargo, aún no hemos terminado porque tanto Firefox como Google Chrome también usan un archivo de preferencias que generalmente contiene referencias a las extensiones instaladas. Tenga en cuenta que siempre es una buena práctica mantener una copia de seguridad de los elementos que elimine (en caso de que cometa un error en el camino).

Limpiando las referencias

Técnicamente, en este caso no pasará mucho si las referencias del navegador a las extensiones identificadas no se eliminan, pero es una buena práctica limpiarlas también.

Para Google Chrome, las preferencias se guardan en% LOCALAPPDATA% \ Google \ Chrome \ User Data \ Default \ Preferences (este es un archivo de texto que utiliza el marcado JSON).

Para Mozilla Firefox, las preferencias se guardan en% APPDATA% \ Mozilla \ Firefox \ Profiles \ <carpeta de perfil> \ Prefs.js

Si bien puede abrir ambos archivos con un editor de texto, eliminar las referencias de esta manera es un poco arriesgado. Con este método, debe asegurarse de mantener el formato correcto, ya que cometer un error podría resultar en un perfil corrupto del navegador. Afortunadamente, tenemos algunas otras opciones (aparte de simplemente ignorar los remanentes o restablecer la configuración del navegador a los valores predeterminados).

Firefox

Firefox tiene una opción muy conveniente que muestra las variables de Prefs.js y la configuración de la aplicación en el navegador donde se pueden modificar (para abrir esto, escriba about: config en la barra de direcciones y presione enter). En este caso, hagamos una búsqueda de la ID de extensión. El resultado es el siguiente:

Como puede ver, la ID de extensión está presente en dos variables. Tenemos dos opciones aquí: o bien podemos editar los datos de la variable (haciendo clic derecho y seleccionando Editar como se ve en la imagen de arriba); o simplemente podemos restablecer la variable (esto se puede hacer haciendo clic con el botón derecho en la variable y seleccionando Restablecer). La segunda opción es la más segura, pero la primera puede ser más práctica si el navegador usa muchas extensiones o personalizaciones de UI, ya que toda la variable se reiniciará y contendrá todos los datos (tenga en cuenta que será necesario utilizar la sintaxis de datos variables correcta)

Chrome

Chrome no tiene una opción de configuración, por lo que aquí solo tendremos que ajustar las configuraciones afectadas manualmente usando las opciones chrome: // settings y chrome: // extensions (en este caso, aún puedes encontrar remanentes en Extensions). Para asegurarse de haber encontrado y eliminado todos los rastros de la extensión, puede abrir el archivo de Preferencias en un editor de texto y hacer una búsqueda (CTRL + F) para la ID de la extensión. Si todo está bien, debería ver lo siguiente (aquí se usa el Bloc de notas. Para su comodidad, se recomienda utilizar un editor de texto más versátil):

Como puede ver, todas las referencias han desaparecido (si todavía hay una, compruebe en qué datos variables está presente e investigue en línea para ver cómo puede modificarla si no desea editar el archivo de Preferencias directamente) . También puedes hacer esta misma comprobación para el archivo Prefs.js de Firefox.

Nota: Siempre tenga cuidado al editar directamente archivos de preferencias. Antes de realizar cualquier modificación, guarde una copia del archivo original en un lugar seguro como copia de seguridad.

Aplicando el conocimiento a otros PUP

Este es solo un ejemplo de cómo un componente PUP se puede eliminar manualmente sin usar herramientas especiales. Si bien las herramientas definitivamente pueden hacer su tarea mucho más fácil, siempre es una buena idea entender la mecánica subyacente (para seguir nuestro ejemplo: una herramienta de registro puede mostrarnos un conjunto de configuraciones del navegador, pero ¿dónde exactamente las encuentra?) . Inicialmente, tomará un poco más de tiempo porque hay que hacer algunas investigaciones, pero una vez que aprenda cómo un navegador administra las extensiones, tendrá esos datos listos para usar la próxima vez. Utilizando este mismo principio, también puede abordar otros componentes PUP de uso común, como las tareas de Windows, el secuestro de acceso directo o las modificaciones de la política del navegador.

Descargo de Responsabilidad: este artículo y el seminario web son solo para fines de demostración. Existen multitud de variantes de PUP y muchas necesitan un enfoque diferente para la eliminación en comparación con el método presentado aquí, dependiendo de su propósito. Sabemos que hay excepciones para cada regla y que las cosas no siempre son así de sencillas. Sin embargo, cubrir todas esas excepciones no cumpliría el propósito de esta publicación de blog. Si necesita ayuda para eliminar el malware de su computadora, puede descargar nuestro kit de emergencia Emsisoft y comunicarse directamente con nuestros analistas de malware en support@emsisoft.com.

¡Que tengas un buen día (libre de malware)!

#MalwareLAB

19 vistas

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Dirección: Juan Díaz,Calle No. 3, Oficina 6062

Panamá, Panamá

Teléfono: (507) 220-8465

Email: sales@sertecomsa.com

© 2016 por Sertecomsa