Zystяaж

En las opiniones de prácticamente cualquier programa de Softonic se puede leer alguna acusación de que ese programa está infectado por este u otro virus, aunque la realidad suele ser bien distinta.

Puesto que nadie nace sabiendo y, además, muchas veces el antivirus no hace mucho por tratar de enseñarnos, usando terminología técnica que nadie tiene por qué conocer, vamos a ver algunas causas para que los antivirus marquen un programa limpio como infectado: los llamados falsos positivos.

Se denomina falso positivo al hecho de que un antivirus detecte erróneamente un archivo limpio como portador de virus. Generalmente la identificación no es exacta, es decir, el antivirus no dice “he encontrado el virus W32.ALGO” sino “he encontrado una variante de W32.ALGO”. Con la cantidad de variaciones que poseen los virus actuales, los antivirus se ven obligados a tratar de anticiparse a estas mutaciones con, podríamos llamarlo así, especulaciones.

Además, aunque no se tratan de falsos positivos, algunos antivirus incorporan la detección de todo tipo de elementos que consideran malware, software prescindible, software no deseado, software potencialmente dañino… Tiene muchos nombres. Es cierto que en ocasiones puede serlo, pero en otras se trata de un programa completamente legítimo que, simplemente, puede ser utilizado a su vez con fines oscuros.

Es el caso de…

• Dialers / Marcadores. Se trata de programas que utilizan el módem del ordenador para realizar llamadas telefónicas y, la mayoría de las veces, establecer una conexión a Internet con ellos. Hoy en día apenas se usan, por lo que muchos antivirus detectan este tipo de programas y muestran avisos al respecto.
• Descargadores. Son los gestores de descarga, programas que mejoran la función de bajar archivos del navegador. Algunos antivirus pueden decir que se tratan de una amenaza, sobre todo si se tratan de programas muy poco conocidos.
• Servidores FTP / Proxy / IRC / WEB / Telnet. A la mayoría de antivirus no les gusta que se instalen servidores o clientes de IRC en tu ordenador, ya que es el mecanismo utilizado por troyanos para llamar a casa. Si estás instalando uno de estos programas conscientemente, no tienes de qué preocuparte.
• Keylogger / Monitor. Programas que guardan un registro de lo que sucede en el ordenador: teclas pulsadas, páginas visitadas, conversaciones de chat. Aunque se trate de una aplicación comercial que quieras instalar (la razón es cosa tuya) tendrás que librar una batalla con tu antivirus para que lo permita.
• Recuperación de contraseñas. Programas para recuperar contraseñas perdidas.
• Administración Remota. Programas para permitir que otras personas conecten remotamente a tu equipo y puedan ver la pantalla, mover el puntero, transferir archivos…
• Herramientas. Diversas herramientas comúnmente utilizadas por hackers, aunque pueden ser utilizadas también para administración de redes, diagnóstico de errores, etc.
• Cracks. Programas para eliminar la protección de otro programa.
• Bromas. Bromas, por ejemplo errores falsos.
• Programas P2P. A algunos antivirus no les gustan los programas de descarga de archivos P2P.

Así pues, cuando tu antivirus te muestre que ha detectado una amenaza, debes fijarte en lo que te está diciendo. ¿Te está diciendo que el programa Remote Administrator que has bajado es un virus… o que es una aplicación potencialmente dañina?

El problema radica en que cada antivirus utiliza su nomenclatura, y en que esta es casi siempre en inglés. Veamos algunos de los prefijos que incluirá tu antivirus al nombre de la amenaza para referirse a este tipo de aplicaciones.

• Not-a-Virus. Su propio nombre lo indica. El archivo “no es un virus”, sino una aplicación que puede ser dañina si no la has instalado tú.
• Suspicious File. El archivo tiene algo sospechoso, pero no encaja con ninguno de los virus de la lista.
• Potentially Unwanted, Unwanted. Aplicaciones que en general podrías no querer en tu sistema.
• DoS, Exploit, HackTool, Email-Flooder, Flooder, Constructor, Nuker. Distintas herramientas de hacking.
• Hoax, Joke. Bromas que simulan errores, virus, etc.
• RAdmin, RemoteAdmin, Backdoor. Programas de administración remota.
• WTool, PSWTool. Recuperación de contraseñas
• Adware. Incorpora publicidad. Pero antes de arrojar este programa a la basura, piensa que la inclusión de barras de herramientas opcionales es muy común hoy en día. Tan sólo debes comprobar si la instalación de estos elementos de publicidad es obligatoria o no.

¿Qué hacer si dudas de si un programa está realmente infectado o no? Una buena opción es pedir una segunda opinión… o mejor, más de 30 opiniones más. Lo puedes conseguir enviando el archivo a VirusTotal.com o Virusscan.jotti.org, páginas que analizan con multitud de antivirus distintos la muestra, indicándote el resultado.

Fuente: http://es.onsoftware.com/p/en-ocasiones-veo-virus

Se trata del primer virus que puede vulnerar la seguridad de los pequeños dispositivos reproductores de música y de películas. En principio no llegaría a dañarlos

La encargada de dar a conocer la mala noticia fue la empresa especializada en la lucha contra los ‘gusanos’ informáticos Kaspersky Lab, quien advirtió que el virus, que debe ser iniciado por el usuario (no
se ejecuta automáticamente), funciona si en el iPod está instalado el sistema operativo Linux.

Según la empresa se trataría de un virus que ‘no tiene ninguna función peligrosa y no representa riesgo para los usuarios, sin embargo muestra que es posible escribir programas nocivos para estos dispositivos en el futuro’.

Después de iniciado, el virus contagia los ficheros del dispositivo con la extensión ‘.elf’. Al ejecutar los ficheros infectados, el virus muestra en la pantalla ‘You are infected with Oslo the first iPodLinux Virus’ (Estás infectado por Oslo, el primer virus para iPodLinux).

Fuente: http://www.infobae.com/

Conficker es uno de los virus más dañinos de los últimos tiempos, un gusano que se apodera de tu PC, monta una especie de servidor web y empieza a atacar otros ordenadores de tu entorno.

Conficker, también conocido como Downadup, Downad y Kido.ih, se aprovecha de una vulnerabilidad en el servicio RPC de Windows, solucionada por Microsoft el pasado octubre mediante un parche especial. El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más eficaz de los últimos doce meses, llegando a afectar a algunos de los 3.000 ordenadores del gobierno de Carintia, a numerosos hospitales en Austria e Inglaterra e incluso a partes de la marina francesa.

Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día, basándose en la fecha.

La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los cibercriminales darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.

¿Cuántos ordenadores han sido infectados?

Las estimaciones varían enormemente y van desde unos pocos cientos de miles de equipos infectados hasta unos 10 millones. Es difícil hacer una estimación precisa. Muchos de los ordenadores infectados están conectados a varios servidores de control, por lo que pueden ser contados varias veces. Por otra parte, cientos de PCs infectados en redes corporativas pueden figurar de cara al exterior como un único equipo. Aún así, incluso siendo conservadores nos enfrentamos a una de las botnets de mayor capacidad.

¿Cómo protegerse?

El caso de Conficker demuestra en toda su crudeza la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota una vez da con él, es de dominio público desde octubre de 2008. Desde entonces, Microsoft ha ofrecido la actualización necesaria para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.

Un factor digno de mención, y todavía más decisivo, es la utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como “12345” o “admin” no proporciona seguridad alguna, algo de lo que los creadores de Conficker se aprovechan sin problemas. Es más, en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los sticks USB, uno de los principales caminos para la difusión de Conficker. El mecanismo de autoarranque está activado en muchos ordenadores y no lo utiliza sólo Conficker para propagarse, sino también muchos otros programas de malware. Aun así, al desactivar la función de autoarranque se impide la facilidad de uso de CDs.

OpenDNS proporciona un servicio interesante al respecto: reconocen los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombie infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.

¿Cómo saber si Conficker ha infectado un ordenador?

Una suite completa de protección antivirus con firmas de detección actualizadas es capaz de detectar Conficker. Cualquiera que no haya hecho sus deberes y haya dejado puertas traseras internas del sistema abiertas o que no haya aplicado los parches críticos tendrá que realizar un gran esfuerzo para desinfectar su ordenador.

Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\ [Random name for the service]

Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\[Random name for the service]\Parameters

ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:

• Windows Security Center

• Windows AutoUpdate

• Windows Defender

• Error Reporting Service

Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:

“virus”, “spyware”, “malware”, “rootkit”, “defender”, “microsoft”,

“symantec”, “norton”, “mcafee”, “trendmicro”, “sophos”, “panda”,

“etrust”, “networkassociates”, “computerassociates”, “f-secure”,

“kaspersky”, “jotti”, “f-prot”, “nod32″, “eset”, “grisoft”,

“drweb”, “centralcommand”, “ahnlab”, “esafe”, “avast”, “avira”,

“quickheal”, “comodo”, “clamav”, “ewido”, “fortinet”, “gdata”,

“hacksoft”, “hauri”, “ikarus”, “k7computing”, “norman”, “pctools”,

“prevx”, “rising”, “securecomputing”, “sunbelt”, “emsisoft”,

“arcabit”, “cpsecure”, “spamhaus”, “castle”wilderssecurity”, “windowsupdate”

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

• http://checkip.dyndns.org

• http://getmyip.co.uk

• http://www.getmyip.org

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:

• ask.com

• baidu.com

• google.com

• msn.com

• www.w3.org

• yahoo.com

Los ordenadores que accedan a estos dominios pueden estar infectados.

Forma visual de como trabaja Conficker

¿Cómo deshacerse de Conficker?

A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.

Además si su computadora está infectada con el gusano Conficker, usted podría tener problemas para descargar ciertos productos de seguridad, como la Herramienta de Eliminación de Software Malintencionado o acceder a otros sitios web, como Microsoft Update. Si usted no pueden acceder a esas herramientas, intente usar el Examen de Seguridad de Windows Live Onecare. Si eso no funciona, lea los siguientes artículos de Ayuda y Soporte Técnico de Microsoft para computadores infectados.

Alerta de virus acerca del gusano Win32/Conficker.B

Implementación de la herramienta MSRT e un ambiente empresarial
Principio de la páginaPrincipio de la página

Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“):

http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx

Fuentes:

http://www.muycomputer.com/

http://www.microsoft.com/latam/protect/default.mspx