Por desgracia, de vez en cuando puede ocurrir que un antivirus instalado en una computadora –que cuenta con todas las actualizaciones- sea incapaz de detectar un nuevo virus, gusano o troyano. Es penoso, pero cierto: ningún software de protección antivirus puede ofrecer una garantía del 100% de seguridad. Si tu computadora se infecta, es necesario determinar el factor de la infección, identificar el archivo infectado y enviarlo al proveedor cuyo producto no logró detectar el programa malicioso y que en consecuencia, falló en la protección del equipo.
No obstante, en la mayoría de los casos, los usuarios no suelen ser capaces de detectar por sus propios medios una infección en su computadora salvo que cuenten con la ayuda de las soluciones antivirus. Obviamente, los gusanos y troyanos normalmente no revelan su presencia. A modo de excepción, existen algunos troyanos que sí informan al usuario que su equipo ha sido infectado, dado que se dedican a cifrar archivos personales del usuario con el objetivo de exigir un rescate a cambio del desbloqueo de esos archivos.
Lo cierto es que normalmente los troyanos se instalan secretamente en el sistema y emplean métodos específicos para disfrazarse y realizar su actividad sin ser detectados. De esta forma, la infección sólo podrá ser detectada por evidencia indirecta.
Síntomas de infección
Un aumento en el tráfico web de salida suele ser un indicador general de una infección; esto se aplica tanto a equipos individuales, como a redes corporativas. Si los usuarios no están trabajando en Internet en un período de tiempo específico (por ejemplo, por la noche), pero el tráfico web continúa, esto podría significar que alguien más está activo en el sistema, y lo más probable es que se trate de una actividad maliciosa. En un servidor de seguridad, los intentos de establecer conexiones a Internet por parte de aplicaciones desconocidas pueden ser un indicador de una infección. Asimismo, el hecho de que numerosas ventanas de avisos publicitarios aparezcan en cada sitio web que visitas, puede ser señal de que un adware está presente en el sistema.
Por otra parte, si un equipo se congela con frecuencia, esto puede estar también relacionado con actividades de un malware. Si bien estas disfunciones usualmente se deben a fallas en el sistema más que a actividades de un virus, si los síntomas se presentan simultáneamente en varios equipos de una misma red y estos síntomas están acompañados por un aumento dramático del tráfico interno, lo más probable es que la falla esté siendo causada por un gusano de red o por un troyano backdoor.
Una infección también puede ser detectada por síntomas no relacionados directamente con la computadora, tales como facturas telefónicas en las que figuran llamadas que nadie ha realizado o mensajes SMS que nadie ha enviado. Estos hechos pueden indicar que un troyano telefónico está activo en tu PC o en tu teléfono celular. Si el acceso no autorizado se ha producido en tu cuenta bancaria personal o tu tarjeta de crédito ha estado siendo utilizada sin tu autorización, esto puede ser señal de que un spyware se ha infiltrado en tu sistema.
¿Qué hacer?
Lo primero que debes hacer es asegurarte de que la base de datos de antivirus está actualizada y luego, realizar un análisis completo de tu PC. Si esto no ayuda, las soluciones antivirus de otros fabricantes pueden hacer el trabajo. Muchos fabricantes de soluciones antivirus ofrecen versiones gratuitas de sus productos para que puedas evaluar su rendimiento. Recomendamos que ejecutes uno de estos productos en tu máquina. Si el nuevo producto detecta un virus o un troyano, envía una copia del archivo infectado al fabricante de la solución antivirus que no pudo detectar ese archivo infectado. Esto ayudará a que esta compañía desarrolle con mayor rapidez una protección contra esta amenaza y, así, podrá proteger a los demás usuarios que utilizan este antivirus.
Si el antivirus alternativo no detecta ningún malware, se recomienda que desconectes el cable de Internet (o que apagues la conexión Wi-Fi), antes de empezar a buscar el archivo infectado. No utilices la red a menos que sea absolutamente necesario. No utilices los sistemas de pago web ni los servicios de banca en línea. Evita también introducir cualquier tipo de dato personal o confidencial y no utilices ningún servicio web que requiera ingresar un nombre de usuario y contraseña.
¿Cómo encuentras un archivo infectado?
Detectar un virus o un troyano en tu computadora en algunos casos puede ser un problema complejo que requiere de ciertos conocimientos técnicos. Sin embargo, en otros casos que puede resultar una tarea bastante sencilla. Todo esto depende del grado de complejidad del malware y de los métodos utilizados para ocultar el código malicioso incrustado en el sistema. En los casos difíciles, cuando se emplean métodos especiales para disfrazar y ocultar el código malicioso en el sistema (por ejemplo, tecnologías rootkit), una persona no-profesional probablemente no pueda localizar el archivo infectado. Este problema puede requerir de utilidades o acciones especiales como por ejemplo, conectar el disco duro a otro equipo o arrancar el sistema desde un CD. Sin embargo, si se trata de un gusano regular o de un Troyano estándar, lo más probable es que seas capaz de rastrearlo utilizando métodos bastante simples.
La gran mayoría de los gusanos y troyanos buscan tomar el control del inicio el sistema. Existen dos maneras formas de hacer esto:
• Un enlace al archivo infectado se escribe en las claves de ejecución automática del registro de Windows.
• El archivo infectado se copia en una carpeta de ejecución automática en Windows.
En Windows XP, por ejemplo, las carpetas de ejecución automática más habituales se encuentran en la siguiente dirección:
%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
%Documents and Settings%\All Users\Start Menu\Programs\Startup\
Existen un gran número de llaves de ejecución automática en el registro del sistema, las llaves más populares incluyen: Run, RunService, RunOnce y RunServiceOnce, ubicada en las siguientes carpetas del registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\]
Lo más probable es que una búsqueda en las ubicaciones anteriores arroje varias llaves con nombres que no revelan mucha información y diferentes rutas a los archivos ejecutables. Aquí debes prestar especial atención a los archivos que se encuentran en el catálogo del sistema de Windows y en el directorio raíz. Recuerda o anota los nombres de estos archivos ya que los necesitarás para los análisis posteriores.
Es muy común que se escriba sobre la siguiente llave:
[HKEY_CLASSES_ROOT\exefile\shell\open\command\]
El valor predeterminado de esta llave es “% 1″% *”.
Las carpetas o directorios “System” y “System 32” de Windows son el lugar más conveniente para alojar gusanos y troyanos. Esto se debe a dos factores: en primer lugar, porque el contenido de estos directorios no se muestra por defecto en el explorador, y en segundo lugar, estos directorios albergan un gran número archivos del sistema y funciones completamente desconocidas para usuarios no profesionales. Incluso a un usuario experimentado, probablemente le resultaría difícil saber si un archivo llamado winkrnl386.exe es parte del sistema operativo o no.
Una estrategia recomendable es usar cualquier gestor de archivos que permita ordenar los archivos por fecha de creación/modificación, para poder organizar cronológicamente los ficheros que se encuentran dentro de los catálogos anteriores. De esta manera, podremos ver en la parte superior del catálogo todos los archivos que fueron creados o modificados recientemente. Aquí es donde el investigador debe enfocar su interés. Si alguno de estos archivos es idéntico a los que existen en las llaves de ejecución automática, esta es la primera señal de alerta.
Los usuarios experimentados también pueden comprobar qué puertos de red están abiertos, utilizando el comando netstats. Se recomienda configurar un firewall y escanear los procesos que participan en actividades de la red. También se recomienda revisar la lista de procesos activos que utilizan utilidades dedicadas con funcionalidades avanzadas en lugar de las utilidades estándar de Windows – muchos troyanos evitan con éxito ser detectados por las utilidades estándar de Windows.
Sin embargo, ningún consejo universal se aplica para todas las situaciones. Los gusanos y troyanos más avanzados son muy difíciles de localizar. En este caso, lo mejor es consultar con el servicio técnico de la empresa de seguridad informática de tu antivirus o pedir ayuda en foros especializados de Internet. Intenta con: www.virusinfo.info, www.rootkit.com y www.gmer.net (Inglés). Muchas empresas de antivirus cuentan también con foros similares diseñados para ayudar a los usuarios.