¿Cómo saber si tu máquina ha sido comprometida por un virus? Síntomas y sus soluciones

Si te estás haciendo esta pregunta, es probable que sea porque tu ordenador no va como antes. Muchas veces la propia degradación del sistema nos hace creer que “alguien ha entrado”. Es una paranoia bastante habitual, pero suele ser exactamente eso; paranoia. Normalmente no somos tan importantes como usuarios y desgraciadamente cuando nos entra esa idea a la cabeza se debe a que los sistemas (todos: Windows, Mac OS e incluso Linux) se degradan con el tiempo: van más despacio y tareas que antes eran fluidas, van más lentas. Antes de seguir, descartemos este hecho. Si, aun así, crees que tu ordenador puede estar siendo controlado remotamente, infectado por un backdoor o un virus, sigue leyendo.

malware-troyano-                                                                            Vía Globbsecurity.com

Síntomas de una posible infección o intrusión en curso

-Internet “va lento”, lo que quiere decir es que más allá del servidor de la página a la que quieres acceder, tu conexión real no devuelve los valores contratados (si revisas con un test de conexión, da menos velocidad de la contratada). Puede ser sinónimo de que alguien más está usando tu red, pero no implica que tu máquina esté siendo comprometida. Si no notas “picos” de uso inexplicables, es decir, hay momentos en los que va como siempre y momentos que va mal, sin explicación aparente, puede ser sospechoso, pero no implica que alguien esté accediendo a tu máquina; sólo que tienes un vecino que se niega a pagar su propia conexión a internet. Llama a tu proveedor y asegúrate de que la contraseña de la red sea personalizada, los cifrados estándar suelen ser más fáciles de “romper” porque están basados en el nombre de tu WiFi, entre otras cosas, lo que reduce el “tiempo” de los atacantes para calcular tu contraseña.

Se cortan las conexiones. Conexiones como vídeos de Youtube van a tirones, cuando nunca ha habido problemas. Transferencias de archivos que se cortan, cargas de página web incompletas (se corta a la mitad y algunas imágenes se quedan a medio cargar), etc-

Avisos de certificado al entrar una página WEB corporativa de gran tamaño. Sobre todo, si antes nunca te dio una advertencia de ningún tipo. Otro síntoma que se puede ver en el navegador es si ha cambiado la página de inicio.

El ratón se mueve solo. Sí, suena a poltergeist, pero si tu PC está haciendo cosas que no debería como esta, o teclear por ti, se te rellenan contraseñas solas que habías decidido no guardar en caché, puedes empezar a entrar en un pánico relativo.

Se abren ventanas (o se cierran) sin previo aviso. Igual que antes, si de repente se te abre una ventana que corresponde a un programa que desconoces o incluso a un “antivirus” que no recuerdas haber instalado y te suelta un mensaje en el estilo “tu PC puede estar en riesgo de infección. Haz clic aquí para que…”, HUYE, apaga tu ordenador y llama a alguien cercano que sepas que te pueda ayudar.

El antivirus se cuelga o no se puede arrancar. Está desactivado o “le pasa algo” que antes no pasaba.

– Empezamos a recibir mucho SPAM. “¿Cuánto es mucho?” te estarás preguntando; pues verás, si cuando abres tu correo y fuera de la bandeja que filtra el SPAM (lo que quiere decir, en tu bandeja de entrada principal) te encuentras con 20 correos (como cifra de ejemplo) que sabes que son SPAM, puedes empezar a sospechar que algo está pasando.

Nuestros correos empiezan a ser clasificados como SPAM y nos los devuelven algunos servidores (que antes no tenían problema).

El ordenador va más lento, no sólo cuando abrimos una aplicación, sino que en general “va lento”. Esto se puede dar por mil causas, pero si las que son relacionadas con fallos comunes del sistema operativo no se arreglan con las soluciones “normales”, entonces la situación puede ser otra.

Hay mucha actividad de disco cuando el ordenador no hace nada, y no hay nada que lo justifique (descargar compactación de disco programada, etc)

No se puede apagar el ordenador.

Han aparecido aplicaciones “nuevas” instaladas, que incluyen popups, iconos en la zona de notificación o barras de búsqueda en el navegador. Este último es uno de los escenarios más comunes últimamente. Han florecido mucho lo que se ha denominado ‘malware’ para todos los navegadores de internet. Este malware reemplaza tu motor de búsqueda por defecto, obliga a ver muchos pop-ups, bloquea ciertas direcciones y motores de búsqueda, y sobre todo, lo más peligroso, es que algunos formatos de malware tienen keyloggers que recogen todas tus contraseñas e información privada que puedan, todo basado en lo que tú pones.

Si al menos la mitad de esos síntomas te son familiares, puede que quieras seguir leyendo y comprobar, con herramientas más avanzadas si tu máquina está siendo comprometida. Estos pequeños tips valen para Mac OS, Windows o Linux por igual.

 

Cómo solucionar el problema

Antes de empezar cierra TODOS los programas que tengas, incluido el navegador, el cliente de correo, Spotify, etc. Todos quiere decir TODOS.

Conexiones activas

Lo primero, vamos a comprobar la lista de conexiones ACTIVAS de red en nuestro ordenador. Tendrás que abrir una ventana de terminal, sí, esa ventana negra con letras que tanto pavor e incomodidad provoca en tanta gente (no vayan a salirte gafas y camisa de cuadros por usarla). Pues tranquilos que no pasa nada, siempre y cuando sigas los consejos de alguien que sabe, puedes abrir una de estas ventanas y, en este caso, copiar o teclear lo siguiente.

netstat -an | grep ESTAB (linux, mac)

netstat -an | findstr ESTAB (windows)

 

Aquí saldrá una lista con un aspecto similar a este:

C:\Users\god>netstat -an | findstr ESTA

TCP    192.168.43.134:49370   198.252.206.25:80      ESTABLISHED

TCP    192.168.43.134:49475   5.135.121.168:443      ESTABLISHED

TCP    192.168.43.134:49493   64.233.166.188:443     ESTABLISHED

TCP    192.168.43.134:49530   216.58.201.142:80      ESTABLISHED

 

En este ejemplo tenemos cuatro conexiones que se originan en mi equipo (columna de la izquierda es “ORIGEN”) y que tienen como destino cuatro IP’s en internet (columna derecha, destino), con destino en puertos 80 y 443 TCP, generalmente usado para navegación WEB. Parece tráfico legítimo, pero ¿y si no tengo abierto un navegador web? Puede ser sospechoso, pero la realidad es que muchos servicios ocultos del sistema (servicios legítimos) se conectan de vez en cuando a algún servicio. Esas conexiones pueden ser intermitentes, pero sería muy extraño ver una conexión PERMANENTE con una de esas IP. De forma que puedes hacer esta prueba varias veces y comparar los resultados. Si hay una conexión persistente o recurrente a una de esas IP, puede ser un indicio de algo sospechoso.

 

  • Procesos extraños

En cada sistema (Windows, Mac, Linux) hay una forma de buscar procesos activos en el sistema. En windows, es Task Manager o Gestor de tareas. En Mac OS y en Linux es similar, en Mac OS es “monitor de actividad” y en Linux cada entorno gráfico tiene el suyo propio, pero lo normal es que se use el comando ‘ps -ef’ o ’top’.

Con todas las aplicaciones cerradas, abre el gestor de tareas y lista de todos los procesos (incluidos los del sistema o los del administrador) e investiga cada uno de ellos de forma manual.

Descarta los que parezcan lícitos y apunta en una lista los que puedan parecer sospechosos. Casos de procesos lícitos son:

explorer.exe

lsass.exe

csrss.exe

svchost.exe

taskmgr.exe

wininit.exe

winlogon.exe

Y un largo etcétera. Todos los que no sepas que son o por qué están ejecutándose tendrás que analizarlos en detalle. Una pista interesante es la ubicación del ejecutable. Para verlo, en el gestor de tareas, utiliza botón derecho > Propiedades. Si un ejecutable que tiene un nombre sospechoso, ademas se está ejecutando en un directorio sospechoso, como c:\windows\temp tiene mas papeletas para ser peligroso.

Muchos de los vehículos de ataque (troyanos, virus, backdoors) suelen cambiar el nombre de fichero, pero no su filosofía de infección. Consultando en Google por el nombre de archivo es muy posible que obtengas más información. También tendrás que tener cuidado con los falsos positivos, es decir, identificar como malware algo que no lo es.

Puede que identifiques uno de ellos, e incluso que confirmes que efectivamente es un gusano. Entonces ya puedes confirmar que al menos tienes un punto de entrada a tu PC. Eliminar una infección puede ser algo muy complicado, ya que los procesos que permiten que un troyano permanezca en el sistema pueden ser complejos y tediosos. Llegado a este punto lo mejor es usar un antivirus profesional y después de unos días verificar manualmente que ese proceso no se ejecuta y que ya no hay nada sospechoso ejecutándose.

Troyano-Gozi

Vía softzone.es

 

Has de tener en cuenta que ningún antivirus es 100% fiable. Pero uno de los síntomas de estar infectado es que no se puede instalar bien ningún antivirus. El primer paso puede ser eliminar (matar) uno de esos procesos que hacen imposible instalar un antivirus, y luego intentar instalarlo. Reiniciar un equipo hará que tu equipo vuelva a ejecutar el proceso de infección.

 

Este proceso manual de verificación puede mejorarse con muchas tareas adicionales, pero si tiene una red con varios equipos lo más probable es que no tenga tiempo de hacerlo uno por uno, por eso debería seguir una serie de buenas prácticas.

  1. Tener un antivirus instalado en todos los equipos de la red.
  2. Asegurarte de que siempre está corriendo el antivirus y nunca se para, ya sea por intervención manual o por otra circunstancia.
  3. Verificar que el antivirus está actualizado.

 

En una instalación grande (con más de 20-30 equipos) esto no se puede realizar de manera automática. Lo idóneo es utilizar una herramienta de monitorización de redes y servidores que se pueda personalizar lo suficiente como para poder identificar esos tres puntos de forma permanente y cada poco tiempo, para que cuando haya un problema se pueda actuar antes de que sea demasiado tarde. Buenos sistemas de monitorización, flexibles, multiplataforma y OpenSource son por ejemplo Pandora FMS o Nagios.

Tagged with:     ,

About the author /


Post your comments

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.