Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo detectar infecciones de malware en nueve sencillos pasos

[07/12/2017] Apenas pasa una semana sin tener que limpiar la computadora de alguien y detectar y erradicar el malware. No es infrecuente que encuentre docenas de infecciones, cada una haciendo todo lo posible para incitar al usuario a instalar múltiples programas antivirus falsos o, lo que es peor, preparándose para bloquear datos en un ataque de ransomware.

Todos estos usuarios se quejan justificadamente de que su programa antivirus (AV, por sus siglas en inglés) es inexacto y no detecta malware que aparece frente a sus ojos. Es especialmente molesto cuando este software reduce el rendimiento a cambio de "proteger" al usuario.

(Tenga en cuenta que, si bien "antivirus" no es exactamente un nombre inapropiado, tampoco es el término más preciso para este tipo de software, ya que los virus informáticos representan un porcentaje muy pequeño de detecciones actualmente. "Antimalware" es más preciso y es mi término preferido, pero dado que el mundo lo conoce como "antivirus", ese es el término que usaré aquí).

Todo el software antivirus omite un porcentaje significativo de malware. Esto se debe a que los escritores de malware profesional diseñan sus ecosistemas de malware y botnet para que se actualicen automáticamente cada vez que comienzan a detectarse. Si bien los motores antivirus eventualmente detectan millones de variantes de malware, siempre tienen una generación de retraso, y no detectan las cosas que se han auto modificado para evitar ser descubiertas.

Las tasas de precisión generales suben y bajan todo el tiempo, aunque algunos productos obtienen mejores resultados que otros durante un período de tiempo. Pero, de nuevo, ningún producto AV es 100% preciso. Ningún producto será muy preciso en el transcurso de un año entero.

Máxima detección de malware para todos

Esto es lo que debe hacer: Instalar un producto antivirus que haga un trabajo decente, que tenga una larga historia de estabilidad y éxito decente, y que no ralentice el sistema (a menos que no le importe un poco de lentitud). A continuación, utilice el Explorador Windows Sysinternals Process o Autoruns para poner a prueba ejecutables contra los 67 motores antivirus de VirusTotal, que ofrece la mejor precisión que se puede conseguir (con un pequeño porcentaje de falsos positivos).

Paso a paso, haga esto ahora para todos los equipos Windows:

  1. Asegúrese de que su equipo tiene una conexión activa a Internet.
  2. Vaya a sysinternals.com. Es un sitio de Microsoft.
  3. Descargue Process Explorer y Autoruns. Ambos son gratuitos, como lo es todo en el sitio.
  4. Descomprima estos programas. Si utiliza el explorador de procesos, emplee procexp.exe. Si se utiliza Autoruns, use autoruns.exe (autorunsc.exe es la versión de línea de comandos).
  5. Haga clic en el botón derecho y ejecute el programa ejecutable como administrador, para que corra en el contexto de seguridad del administrador.
  6. Ejecute Process Explorer primero (explicaré los Autoruns más adelante). Seleccione el menú de opciones en la parte superior de la pantalla.
  7. Escoja VirusTotals.com y Check VirusTotals.com.
  8. Esto presentará todos los ejecutables que se ejecutan en el sitio web VirusTotal, que está dirigido y mantenido por Google. Obtendrá un mensaje para aceptar la licencia; si responde. Puede cerrar el sitio web de VirusTotal que aparece y volver a Process Explorer.
  9. En Process Explorer, verá una columna titulada Virus Total. Dirá Hash Enviado (durante los primeros segundos) o le dará una relación, algo así como 0/67 1/67/14/66, y así sucesivamente.
Ejemplo de explorador de procesos y ratio de VirusTotal.
Malware

Como probablemente ha adivinado, el ratio mostrado de VirusTotal indica cuántos antivirus en VirusTotal informaron sobre el ejecutable (hash) como malicioso. Actualmente, la lista de antivirus es de 67, pero sube y baja todo el tiempo. No estoy seguro de por qué algunos ejecutables son inspeccionados por todos los antivirus y otros no, pero independientemente del denominador (número inferior), si el numerador (por encima de la línea) es mayor que cero podría tener malware.

Si dice 1/57 o 2/57, sin embargo, probablemente no sea malware, pero sí un falso positivo. Por otro lado, he visto al menos un programa de malware real que fue detectado por uno solo de los motores, por lo que debe hacer una doble comprobación para ver si el nombre y el proveedor que creó el programa parece familiar. Si no es así, podría ser dañino. Pero, en general, si el numerador es 1 debería relajarse. Si es 2, investigue un poco más. Pero incluso la mayoría de los 2s terminan siendo falsos positivos. La siguiente captura de pantalla muestra ejemplos de dos falsos positivos, relacionados con el proveedor legítimo, Winzip Computing.

Ejemplo de falsos positivos de VirusTotal.
Malware, Virus Total

Si no está seguro, solo tiene que hacer clic en la proporción informada y lo llevará a la página VirusTotal donde se le mostrará qué motores AV lo hicieron y no lo reportan como malware. VirusTotal también muestra dos símbolos en la parte superior de la página, uno un diablo rojo y el otro una cara sonriente verde que lleva un halo. Si la flecha está apuntando a la cara sonriente verde, que es lo general en estos casos, significa que la experiencia de VirusTotal les lleva a clasificar el archivo como no malicioso. En el ejemplo de captura de pantalla, a pesar de que el programa de "delincuentes AV (en este caso, eGambit) sí dice tener confianza del 99% de que el archivo es malicioso, ninguno de los otros programas de AV 65 están de acuerdo, y el propio VirusTotal (como lo demuestra por la cara sonriente verde) no está de acuerdo.

Captura de pantalla de ejemplo de resultados detallados de VirusTotal.
Malware, virus total

Entonces ¿Por qué iba a recomendar un programa que tiene a menudo falsos positivos? En primer lugar, es un problema inherente a VirusTotal y no a Process Explorer. Por lo general, los falsos positivos se solucionan en horas a medida que el proveedor de AV hace su investigación y limpieza. Y si puede pasar por alto los posibles falsos positivos menores que son fáciles de descartar, no hay un solo motor antivirus que sea tan preciso como VirusTotal. Puede tener pequeños errores que yerran en el lado de la precaución, pero lo compensa en la detección de muchos otras fallas que otros AV pasan por alto. Utiliza el poder de 67 motores antivirus diferentes contra los creadores de malware. Su producto antivirus puede perderse algo, pero VirusTotal no lo hará.

La mayoría de los programas de malware están atrapados en una relación con un numerador de 3 o superior (ej. 13/67). De hecho, nunca he tenido un falso positivo cuando el numerador es 3 o superior. Cuando no veo nada en ese numerador o uno superior, hago clic derecho en el Explorador de procesos, anoto la ruta de ubicación del archivo, y mato el proceso si no lo reconozco y confío en el archivo del programa.

Entonces elimino manualmente los archivos asociados con el ejecutable -pero proceda bajo su propio riesgo. Sea prevenido: siempre existe la posibilidad de que borre accidentalmente algo que necesita para alguna aplicación o para que funcione el controlador. Si está preocupado, cambie el nombre del archivo. Eso es suficiente para evitar que el programa de malware se reactive usando ese mismo archivo. Por lo general, le cambio el nombre a algo con una extensión de archivo que termine en "thisismalware (este es malware) de modo que voy a recordar lo que hice si lo veo de nuevo. Por lo general, si no estoy seguro de si el archivo que deseo eliminar es malicioso, le cambio el nombre, espero una semana y luego elimino el archivo cuando estoy más seguro de que no tenía impacto legítimo.

De vez en cuando, el malware "luchará con usted y no le permitirá matar el proceso. Si es así, repita el proceso anterior, pero con Autoruns. Utilice los Autoruns para anular la selección del programa para que no se cargue en el inicio. Reinicie y ejecute Process Explorer de nuevo. Por lo general, el programa de malware no correrá y puede eliminarlo. Si utiliza Autoruns pero no funciona y el archivo todavía está luchando, tendrá que arrancar en modo seguro, encontrar el ejecutable y luego borrar o cambiar su nombre. No he corrido un archivo ejecutable en años de lucha, pero es posible. Si esto sucede, utilice VirusTotal para identificar qué productos antivirus detectan el archivo de destino como malicioso, descárguelo y ejecútelo en su computadora para deshacerse del archivo. Es posible que desee que este sea el primer paso de erradicación, si no está cómodo con matar y eliminar archivos manualmente.

Ponga un acceso directo a Process Explorer en el escritorio. Siempre "Ejecútelo como administrador. Por lo general hago clic en el archivo ejecutable (no en el acceso directo del escritorio), selecciono Propiedades, luego en la pestaña Compatibilidad, selecciono Cambiar configuración para todos los usuarios, y luego selecciono Ejecutar este programa como administrador. Asegúrese de ejecutar la versión de 64 bits si ejecuta una versión similar de Windows. Esto es muy común en estos días. Recomiendo que todo el mundo descargue y ejecute Process Explorer o Autoruns al menos una vez a la semana. Si eso es demasiado, al menos asegúrese de ejecutarlos si su equipo muestra un comportamiento sospechoso.

Cuidado con esto: La no detección de malware ocurre siempre

Para que quede claro, incluso este método de detección no es perfecto. Determinado malware puede escapar de este tipo de detección, aunque por el momento, es raro. Por supuesto, en el futuro, los creadores de malware podrían escapar de las garras de Process Explorer o Autoruns. Eso no sucede aun, por ello el método de protección anterior es uno de los mejores que puede utilizar.

El mejor consejo a largo plazo para evitar la infección le resultará familiar: Mantenga su software con todos los parches -especialmente el navegador y el software de complemento. Por encima de todo, no se deje engañar en la instalación de algo que no debería. Por último, no comparta contraseñas entre diferentes sitios -o utilice la autenticación de dos factores- y se convertirá en un defensor de máxima seguridad. Esos tres consejos superan a cualquier asesoramiento antimalware que pueda conseguir.

Si su computadora está conectada a Internet, no tener defensa está perfecto, y se debe a sí mismo el aplicar el mejor régimen de detección disponible. Siéntase libre de pasarle mi receta de detección a cada amigo y compañero de trabajo. Es difícil de superar la exactitud de 67 programas antivirus.