Ordenadores Zombis, por Dani Alonso

 

 

Noticia: En Público.es 

A veces, noticias como ésta son la fuente de inspiración para iniciar un nuevo artículo, como por ejemplo este de los ZOMBIS.

Esta noticia nos dice que “España es el tercer país del mundo con más ordenadores zombis”, y sí… más de 380.000 ordenadores españoles formaron parte en el segundo trimestre de este año de redes de ordenadores zombis controlados por un tercero, según un estudio realizado por Microsoft sobre equipos con sistema operativo Windows. El informe detalla las amenazas detectadas y eliminadas en más de 600 millones de ordenadores analizados en todo el mundo, y sitúa a España como tercer país en número de infecciones. El primer lugar lo ocupa EEUU con más de dos millones de ordenadores zombis, seguido de Brasil, que supera el medio millón.
El estudio destaca también que España pasa a ocupar el segundo puesto cuando, en lugar de contabilizar el número total de ordenadores infectados por países, se especifica el número de infecciones por cada mil operaciones de limpieza solicitadas.
En este caso, Corea del Sur (14,6), España (12,4) y México (11,4) encabezan los primeros puestos.

El estudio tiene como fin alertar a los usuarios de que su ordenador puede formar parte de una red que lo utiliza para enviar spam o atacar páginas web.

Entre abril y junio de este año Microsoft ha eliminado más de 6,5 millones de infecciones, el doble que en los mismos meses de 2009.
Pues aquí empieza mi entrada:

¿Cómo puedo saber si mi ordenador es un zombi?

Muchos se conformarían con recomendarte un escaneo online de algún antivirus, pero por desgracia no es suficiente y lo primero que tenemos que hacer es echar un vistazo a los procesos para ver si lo que está en ejecución en nuestro PC es todo lo que creemos tener instalado.

Para ello vamos al Administrador de tareas de Windows con la combinación de teclas Ctrl+Alt+Supr, o incluso mejor vamos a utilizar

una magnífica herramienta llamada Process Explorer

Vamos al menú “View”, sección “select columns” y marcamos “Command line” para mostrarla. Con estas herramientas podemos ver todos los programas que están en ejecución y en qué directorio se encuentran.

También es muy muy interesante saber si hay algún programa que se intenta ocultar, para ello vamos a utilizar

otra interesante herramienta llamada RootkitRevealer

que detecta correctamente todos los rootkits persistentes publicados en www.rootkits.com.

Como ya sabéis, un zombie se produce por la infección de un malware “daemon” que requiere Internet para poder ser controlada, así que una de las actividades principales de estos bichos está en las conexiones. Por tanto vamos a comprobar si nuestro equipo se está conectando a sitios conocidos.

Si nos gusta jugar con comandos, el que debemos utilizar es NETSTAT -B, que nos dirá de manera muy clara qué aplicaciones son los responsables de cada conexión activa. Si lo preferimos con interface gráfica, podemos utilizar TCPView

Ahora, sabiendo que los malware intentan arrancar junto al sistema, una de las comprobaciones que podríamos realizar es en el Registro de Windows, a través de regedit.exe. En concreto, estas claves son la claves:

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServicesOnce
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunOnceSetup

Por último, pero no ello menos importante, si queremos garantizar que nuestro equipo esté lo más protegido posible, debemos asegurarnos de tener el equipo 100% actualizado, contar siempre con software legal, y

un buen y actualizado antivirus, por ejemplo Microsoft Security Essentials (que es gratis)

Autor de este artículo: Dani Alonso

  Anotación hecha en los comentarios por Ramón  Sola:

Los consejos de Dani Alonso están muy bien, pero en mi opinión se podría sustituir o complementar la inspección manual de las claves del registro con la ejecución del inefable Autoruns

Autouns: documentación y descarga

 

3 Replies to “Ordenadores Zombis, por Dani Alonso”

  1. Hola Ramón.
    Respecto al fedd, cometí el error de cambiar la dirección desde FeedBurner (al añadir también éste y por ponerlos más acorde con los nombres de los blogs). Pero claro, no pensé en que los que ya lo teníais configurado 🙁
    Ya está de nuevo con su dirección. Espero que ahora sí puedas verlo.

    Y respecto al tema del registro, supongo que se puede ampliar el artículo con dicha información y que sea el usuario quien decida 🙂

    Encantada de tenerte por aquí “también”.
    Voy a ello. Listo

  2. Hola, Palel.

    Los consejos de Dani Alonso están muy bien, pero en mi opinión se podría sustituir o complementar la inspección manual de las claves del registro con la ejecución del inefable Autoruns (a menos que “casque” en mitad del análisis, como le ocurría a un amigo mío :P).

    A propósito, el feed de artículos de tu blog en Blogger (valga la redundancia) está fallando, redirige a una dirección de FeedBurner que no existe o no está bien configurada.

    Saludos.

Deja un comentario