¡Hola, lectores de Gizmo!

John C, mi compañero de trabajo en nuestra oficina de la costa este, se topó con una página de los foros de Malwarebytes y he pensado que estaría bien compartirla, ya que estábamos poniendo en común nuestras herramientas preferidas para eliminar amenazas. El uso de la cursiva es mi forma chapucera de diferenciar lo que he escrito para los lectores de Gizmo y lo que publiqué para los colegas. A continuación os pongo la página:

http://forums.malwarebytes.org/index.php?showforum=39&utm_source=WhatCountsEmail&utm_medium=MBAM%20PPC%20-%20MD%20Registration&utm_campaign=February%202012%20Newsletter

Si leéis el primer comentario veréis que habla de Chameleon. Se trata de una herramienta dentro de Malwarebytes capaz de localizar y parar procesos en ejecución con pinta de ser malware y es muy útil contra las alertas de falsas amenazas. Chameleon está en una subcarpeta dentro de la carpeta principal de MalwareBytes.

A continuación os pongo los resultados de mis pruebas, que ya publiqué para mis colegas, a los que he hecho algunas modificaciones para presentároslos en un lenguaje más fácil de entender. Todos somos profesionales de las TI, por lo que tenemos tendencia a escribir para nosotros de forma muy distinta a como yo escribiría para los lectores de Gizmo. Más adelante hablo de System Check, que es una falsa alarma bastante repugnante. La próxima vez que actualice el post quiero presentar algunos métodos para eliminar estas amenazas y también análisis de Escáneres de Rootkits. He estado muy liado en el trabajo y hago las pruebas en mis ratos libres, que han sido muy escasos. Pero quería compartir esto con vosotros para que añadáis Chameleon a vuestro lápiz USB.

Y después irá MBAM, que es la abreviatura de MalwareBytes' Anti-Malware. Y Rkill, que es otra herramienta para este tipo de procesos que os comentaré más adelante. Los siguientes dos párrafos pertenecen a un escrito para mis compañeros de trabajo:

He probado Chameleon con System Check, que es el peor de los falsos programas de alertas que hace que te desaparezca todo. Seguí paso a paso las instrucciones que venían en el primer post del enlace que os doy. Hice clic en la primera casilla, se abrió una pequeña ventana de DOS y entonces procedí a matar los procesos y después, actualicé y ejecuté MBAM. Todo funcionó estupendamente, aunque sufrí un inesperado efecto secundario. Al matar el proceso, creo que también me cargué la capacidad de este “Nuevo y Mejorado” System Check de desactivar las particiones. Reinicié y entré directamente en Windows, aunque consistía en un escritorio negro con todo oculto, ¡pero arrancó! (Tened en cuenta que ejecuté esto justo después de infectarme y probablemente también se reinició mi usuario. Más adelante amplío esto). No lo limpié cuando ejecuté MBAM por primera vez porque John descubrió que se puede ejecutar Chameleon de forma independiente desde un lápiz USB y quería probarlo. Efectivamente copié entera la carpeta de Chameleon y ejecuté el archivo desde ahí. Chameleon funcionó igual de bien que antes, es decir, perfectamente.

Así que esto originará una adopción permanente para mi lápiz USB. Esto nos otorga capacidad para parar los procesos de falsas alertas directamente desde el USB y entonces podremos instalar y ejecutar MBAM sin comprometer el sistema. Rkill funciona casi igual, pero es un poco más peligroso cuando está en ejecución. Con el fin de parar procesos en marcha, lo que hace en realidad es cambiarles el nombre. Esto puede ser malo porque ahora MBAM o el programa que estemos usando no encontrará el archivo renombrado. Lo que hago siempre es que anoto la ruta de Rkill y vuelvo a ponerle el nombre original para que MBAM pueda encontrarlo.

Tengo otras novedades que me gustaría compartir con vosotros sobre una herramienta que estoy creando y que restablecerá el daño hecho por estos programas de falsas alertas, como el System Check que menciono arriba, que lo que hacen es ocultar todos los menús y carpetas. Lo habría publicado aquí, pero es demasiado extenso. Pondré un enlace para que lo podáis leer si os apetece. Hasta entonces probad Chameleon, será una buena adquisición para cualquier lápiz USB.

Hay muchos programas anti-rootkit disponibles, muchos de ellos son avanzados y sólo valen para usuarios con experiencia y mentalidad técnica, que estén acostumbrados a manejar ordenadores y sistemas operativos. Sin embargo, hay un par de opciones que no exigen demasiadas habilidades técnicas y que además son muy eficaces.

El nuevo programa Más Destacado es Kaspersky TDSSKiller. Su interfaz es fácil de usar, es rápido escaneando, tiene una muy buena tasa de detección y es fácil de manejar. TDSSKiller logró detectar y eliminar todos los rootkits modernos que probé (TDSS, Zeus, TDLV4, etc). La única pega es que el abanico de rootkits que detecta TDSS Killer es limitado, pero por suerte añadirán más clases de rootkits en el futuro. Si se añade más información sobre virus, se podría convertir en la herramienta definitiva para eliminar rootkits. En mis pruebas, encontró y eliminó cada vez los elementos contra los que está diseñado y lo hizo de forma fácil y con resultados positivos. En este caso, las cosas positivas superan con creces las negativas. TDSS Killer también incluye funcionalidades para 64 bit, un gran plus.

Avast Anti-Rootkit se parece a la consola de comandos de Windows, pero es bastante fácil de usar. Os permitirá escanear el ordenador y el MBR en busca de rootkits, e incluso solucionará algunos otros problemas. Comprender los datos de salida de Avast Anti-rootkit puede resultar un poco difícil para algunos usuarios, pero hace bien su trabajo. Lo probé con TDSS y algunos otros rootkits modernos y los localizó todos. Por otra parte, la eliminación no fue tan buena como con algunas de las otras herramientas. Lo que sí tenemos es una herramienta muy útil que yo personalmente no dejaría de tener, con la capacidad de ejecutar correctamente la instrucción FixMBR desde Windows. Normalmente, para hacerlo hay que iniciar Windows desde un disco de recuperación de XP o de Windows 7 y entonces ejecutar este comando, pero Avast Anti-Rootkit tiene integrado un botón 'Fix MBR' que con un solo clic escribirá un nuevo Master Boot Record (Registro de Arranque Maestro), algo necesario para eliminar muchos de los rootkits. Es una función muy útil, ya que no siempre se tiene un disco de Windows a mano. Lo llevo en mi memoria USB siempre.

He elegido dos programas como destacados para usuarios expertos y técnicos, GMER y RootRepeal. Son aplicaciones muy populares, pero exigen usuarios con ciertos conocimientos sobre sistemas informáticos para que sean capaces de interpretar sus resultados. Podéis encontrar abundante documentación en ambos programas, pero si eres la clase de persona que (como yo) prefiere la simplicidad de hacer clic en el botón de escanear y simplemente esperar los resultados, te vendrá mejor TDSS Killer.

Para usuarios intermedios no puedo recomendar ninguno de esos programas, ya que sin conocimientos informáticos profundos, resultará difícil interpretar los resultados. Incluso a mí me llevó un buen rato comprender los datos. En mi trabajo normalmente no tengo tiempo para consultar la documentación y tengo que actuar con rapidez para restaurar un ordenador y dejarlo en condiciones para trabajar. Sin embargo, si tenemos una infección especialmente complicada, estas herramientas no tienen precio por la cantidad de información que aportan. Prefiero GMER, el proceso de escaneo inicial me parece más sencillo de usar y su tasa de detección es mejor que la de RootRepeal.

El siguiente producto que he estudiado es una herramienta de las que siempre llevo conmigo. Dr.Web CureIt! no es una herramienta anti-rootkit independiente como las anteriores que acabo de recomendar, más bien es un escáner gratuito de malware y una herramienta de eliminación que resulta muy eficaz para eliminar determinados tipos de rootkits, pero que en mis pruebas no detectó las amenazas más modernas. Siempre está bien tener una herramienta con capacidad de eliminación, por lo que el escáner gratuito de Dr. Web es un buen componente en el arsenal de cualquiera. Lo que me ha parecido más útil es el entorno de procesos aislados o sandbox que genera cuando está en ejecución. Esto es bueno, ya que detiene todos los procesos que ciertos tipos de malware pueden tratar de ejecutar. También puede escanear en profundidad vuestro disco duro y os permitirá reiniciar en ese entorno para hacer exploraciones y eliminaciones adicionales.

Sophos Anti-Rootkit cuenta con una interfaz pequeña pero fácil de usar, sin más opciones que la de elegir qué quieres escanear. A medida que va explorando se va abriendo una interfaz más completa en la que se enumeran los resultados del análisis y se ofrece información sobre cada resultado, así como recomendaciones para cada uno de ellos. Además, hay un pequeño archivo de ayuda que explica el programa con un poco más de detalle y da instrucciones sobre cómo usar la herramienta de consola de comandos anti-rootkits, también incluida. Sería una herramienta excelente si estuviese al día, pero en mis pruebas falló a la hora de encontrar o eliminar algunas de las amenazas más modernas.

F-Secure Blacklight es otra gran herramienta para eliminar rootkits. Desgraciadamente, su soporte terminó hace un par de años. De todas formas, aún podéis bajarlo de la web de F-Secure y es compatible con Windows Vista y XP.

Sigue trabajando bien con los rootkits antiguos, pero al ejecutarlo en Windows 7 dio un error, “Incompatible”. Blacklight también es incapaz de detectar los rootkits más modernos y por tanto recomiendo de momento alguna de las otras herramientas.

Prevx Free, la versión gratuita de Prevx, ofrece el mismo tipo de detección puntera en tiempo real que la versión completa, pero por desgracia no ofrece mucho más que eso. Prevx Free sólo puede limpiar determinadas infecciones, como el Adware, el troyano bancario ZEUS y rootkits MBR. En lo referente a detección de rootkits es, definitivamente, muy bueno, así que aunque no puedas limpiar todas las infecciones al menos te avisa, con lo que puedes tomar más medidas y eliminar manualmente el rootkit o buscar ayuda para hacerlo. Por difícil que sea detectar lo más reciente, con la constante evolución de rootkits y virus, Prevx es un añadido que aumentará la potencia e información de tu software antivirus habitual.

Además, Prevx Free puede lanzar análisis personalizados desde el menú contextual, así como programar escaneos desde el propio programa. Otro punto a favor es que es muy rápido escaneando. La versión gratuita también ofrece proteger las cookies almacenadas y los registros guardados. Esta versión gratuita tiene también un componente para proteger el navegador, pero sólo ofrece protección personalizada para una única web de tu elección. Encontrarás más protección en Prevx Safe Online, que incluye anti-phishing, protección contra hijacks (secuestros), keyloggers (capturadores de pulsaciones del teclado) y ladrones de cookies de un gran número de webs muy populares, como PayPal o Amazon y por supuesto de una sola web que tú elijas.

Lo anterior es la información del anterior editor, la he incluido aunque me gustaría destacar que dadas las limitadas funciones de Prevx Free, lo uso principalmente para detección. Normalmete necesito escanear, detectar y eliminar amenazas con una sola herramienta.

Como señalaba antes, mantendré los enlaces a las aplicaciones mencionadas aquí por si os funcionan y son vuestras favoritas. No quiero desanimar a nadie para que deje de usarlos, pero los que peor resultado me han dado están en la sección “Otros Escáneres”; es decir, que no los recomiendo. Si a vosotros os funcionan, estupendo, estaré encantado de leer vuestros éxitos en la sección de comentarios (de la página en inglés).

Junto con mi intención de ofrecer ayuda también está recomendarios solo lo que me parece que funciona. Siempre estoy abierto a aprender nuevos métodos y nuevas herramientas. Me encantan y creo fervientemente que nunca son suficientes. En este siempre cambiante mundo de la eliminación de amenazas necesitamos muchas herramientas para detectarlas y eliminarlas.

Quizá te interese consultar también estos artículos:

• Mejor Antivirus Gratuito
• Mejor Limpiador Gratuito de Adware-Spyware-Scumware
• Mejor Escáner/Limpiador de Troyanos
• Mejor Firewall Gratuito
• Best Free Intrusion Prevention and Detection Utility for Home Use (HIPS)
• Best Internet Safety Freeware
• Best Free Process Viewer
• Safe Computing in Under an Hour
• Probably the Best Free Security List in the World
• La lista de Favoritos de los Redactores
   

Esta categoría de software está a cargo del redactor voluntario shiftygypsy. Los usuarios registrados pueden ponerse en contacto con él para comentarios o preguntas haciendo clic aquí.

anti-rootkits, escáner rootkits, eliminar rootkits, escáner rootkits gratuito, eliminar rootkits gratuito, software gratuito, detectar rootkits, quitar rootkits