Grado de dificultad: 2 a 3 (Lo importante es que sepan cómo funciona y que se puede combatir).

Columnista: Roberto

Algo acaba de pasarnos en uno de nuestros PCs: el antivirus se puso a detectar periódicamente un intento de acceso, que interpretó como indebido.

Es uno de los modos utilizados por los virus recientes, y es difícil de solucionar.

Este incidente nos llevó al presente artículo para nuestros Dummies.

Physing y métodos más elaborados

No hay generación espontanea

Aunque la “ingeniería de redes sociales” sea la más frecuente actualmente, existen todavía ataques externos “automatizados”.

Empezamos por recordarles que es la “ingeniería de redes sociales”, también llamada “physhing”. Se trata de un método que necesita muy pocos conocimientos informáticos.

Al contrario, requiere una buena experiencia psicológica, porque se trata de obtener informaciones, simplemente pidiéndolas.

Al respecto, por favor, revisen nuestro artículo “Consejos contra el Phishing”, que sigue vigente.

Pero, aparentemente, hay una resurgencia de ataques informáticos más elaborados (AKA por “virus”).

Un virus no aparece por generación espontánea en un PC. Llega porque fue descargado como pieza adjunta a un correo electrónico, o por descarga directa:

  • Archivos de documentos de Microsoft Office (suite muy conocida que suele ser vector de “caballos de Troya”),
  • Un archivo de programa (de instalación),
  • Otro elemento aparentemente inofensivo (archivo fotográfico, video).

Solo describiremos el caso donde el antivirus lo detecta (si no, solo aseo periódico y disciplina pueden protegernos).

Archivos de “Office”

Los archivos de Word Excel, son más frecuentes, aunque Powerpoint tenga, ahora, una habilidad similar.

La descripción de un archivo “Microsoft Office”, se compone de un nombre y de una extensión:

NombreArchivo.xlsx” sería un archivo “Excel” llamado “NombreArchivo”. La extensión (detrás del punto) “xlsx” lo identifica como “tabla Excel”.

Si el archivo es “Word”, su extensión será “docx” y si es Powerpoint, “pptx”.

Pero esta extensión puede ser “docm”, “xlsm” o “pptm”.

La presencia de una “m” en lugar de la “x” al final de la extensión es una señal: de que este archivo contenga un programa.

Nota: muchos desarrolladores usan esta habilidad para transformar estos archivos en herramientas para automatizar tareas.

El autor de este artículo lo hizo en múltiples oportunidades con un propósito corporativo.

Es un primer caso, en el cual un PC de dummy será, paradójicamente, más protegido: las funcionalidades de programación están, normalmente, desactivadas.

En ambiente corporativo, hay que ser más prudentes, porque la “productividad” se consigue a costa de la seguridad.

Archivos “ejecutables”

La “extensión” más convencional de un archivo ejecutable (AKA un programa) es “exe”.

Generalmente, las aplicaciones de correo electrónico no aceptan adjuntar un archivo de este tipo a un correo. Pero “exe” es solo una de las numerosas extensiones disponibles.

El siguiente artículo da una lista no exhaustiva:

¿Qué son Archivos Ejecutables? Definición y lista de extensiones

Las demás son menos conocidas, y muchos no las identifican como peligro (ni las aplicaciones de correo).

Además, el Internet contemporáneo está basado en la descarga de todo tipo de archivos, muchos “ejecutables”.

La regla es sencilla, aunque requiera una disciplina personal:

Nunca ejecutar directamente un archivo descargado: se debe, sistemáticamente, escanearlo con el antivirus.

Parece sencillo, pero los navegadores como Chrome no nos ayudan mucho:

Muestran los archivos descargados en parte inferior de la pantalla, con la posibilidad de ejecutarlos directamente.

¡NUNCA HAGAN ESO! Acostúmbrense a descargar y a escanearlos juiciosamente: siempre existe un peligro potencial.

Lo mismo vale para los elementos recibidos por correos: nunca abrirlos directamente desde la aplicación de correo.

Es como lavarse las manos en tiempo de pandemia, con la diferencia de que esta forma de pandemia es permanente.

Elementos aparentemente inofensivos

En esta categoría están las fotografías, los videos y la música.

Estos archivos no son “ejecutables” en sí. Es la ejecución con el programa de lectura que puede revelar un peligro.

Es un riesgo más alejado, pero sepan que existe: la asociación con ciertos programas de lectura puede activar un “código maligno”.

Generalmente, su antivirus lo detectará, pero culpará al programa de lectura.

Si eso les pasa, les tocó cambiar de programa (porque tiene una falla) y borrar el archivo que lo provocó.

Búsqueda de un virus

Las rutinas anteriores dan un buen resultado. Sin embargo, algunos virus lograran pasar desapercibidos si no se activan inmediatamente.

Se enterarán durante un escaneo periódico realizado por su antivirus.

Para eliminar el intruso, habrá tres casos, de complejidad creciente:

Caso uno: Eliminación por escaneo antivirus

Como lo dice el título, el primer reflejo, al recibir la alerta, es realizar un escaneo de su computador.

Los antivirus proponen dos maneras: el escaneo simple y el escaneo completo.

El escaneo simple es rápido, pero limitado a los archivos reputados “ejecutables”.

Como lo pueden adivinar, si su computador está infectado les recomendamos un escaneo completo.

Es largo, molesto, y probablemente exigirá que usted cierra ciertas aplicaciones, y hasta reinicia su computador.

No se confíen demasiado: si su computador detectó algo, no obligatoriamente ha logrado eliminar la amenaza principal.

Caso 2: Búsqueda de “Rootkit”

Los virus más elaborados incluyen una parte invisible en condición normal: cuando se enciende un computador, la rutina de inicialización es inaccesible al antivirus.

Diseños muy elaborados logran ubicar un programa pequeño (llamado “rootkit”) en esta rutina, que llamara a otros módulos (eventualmente descargados desde Internet).

Mensajes de alarmas que reaparecen periódicamente son un síntoma de esta forma de infección.

Por eso, los antivirus tienen otra forma de escaneo, que pocos conocen: el análisis durante el arranque.

Como lo indica su nombre, este análisis requiere reiniciar el computador. Después del rearranque, el antivirus realizará el análisis antes de cargar el sistema operativo.

La presentación gráfica de este modo de análisis es, por supuesto, muy básica (pantalla negra con texto blanco).

Es, además, un análisis largo…

Emoji ZEN - Origen WhatApp

Caso 3: Aplicaciones activas

En nuestro caso, no hemos detectado nada, y los mensajes siguieron apareciendo.

Si el problema persiste, es que ustedes (o nosotros, en este caso) tiene una aplicación activa apuntando a un “elemento aparentemente inofensivo” infectado.

En realidad, no es el peor caso … Sin embargo, hay que reconocer que es bastante molesto.

Con Windows 10, muchas aplicaciones pueden ser lanzadas automáticamente al arranque del sistema operativo.

Se pueden desactivar accediendo a “Administrador de tareas” (clic derecho en la barra de iconos inferior):

Acceso a administrador de tareas - Captura de pantalla

Luego, eligen la pestaña “Inicio”, y verifiquen la lista de aplicaciones. Para desactivar una, es con clic derecho en el elemento en la lista (si no está ya desactivado).

Ventana de Administración de tareas - Pestaña Inicio - Captura de pantalla

Nota: Pueden aprovechar la oportunidad para desactivar otras aplicaciones.

Para solucionar definitivamente el tema, tendrán dos opciones:

  • La primera, brutal, será desinstalar el programa en falla (o actualizarlo).
  • Ubicar el archivo responsable, operación que puede revelarse más compleja si pertenece a una colección grande.

El lado más molesto de este artículo es que pasaran por todos los casos presentados … Es nuestra “nueva normalidad”.

Emoji con mascarilla - Origen WhatApp
Header Kirabytes1