Incontables veces hemos explicado en este blog cómo evitar ser víctimas del malware, pero... ¿qué hay con aquellos lectores que sí se infectaron y no disponían de una solución antivirus? Bueno, este post es para ustedes, ya que aquí explicaremos qué acciones les recomendamos tomar para recuperar el control de su equipo y evitar una posible reinfección.

Asumir la infección

Esta tarea suele ser la más complicada de determinar de forma efectiva ya que la mayoría de las actuales amenazas suelen no llamar la atención para así evitar ser eliminadas. Existen muchos factores o "pistas" que nos pueden llevar a la conclusión de que nuestro equipo se encuentra comprometido, entre ellas las siguientes:

  • Lentitud repentina en el procesamiento del equipo.
  • Apertura de ventanas o programas sin que esto sea indicado por el usuario.
  • Funcionalidades o programas deshabilitados (Administrador de tareas, Registro de Windows, etc).
  • Notable lentitud al navegar por Internet o realizar descargas.
  • Alertas de seguridad por parte del sistema operativo o de falsas soluciones antivirus (Rogue).
  • Imposibilidad de iniciar el sistema operativo tanto en "modo normal" como en "modo seguro".
  • Redirecciones a sitios web de aspecto dudoso.
  • Cambio del fondo de escritorio del sistema operativo u otro aspecto estético.
  • Correos enviados desde nuestra propia casilla de correo sin nuestra autorización.

Cabe aclarar que estos posibles "síntomas" pueden también ser producto de problemas de hardware o  del sistema operativo y no necesariamente estar vinculados a una infección. Es por esto que se recomienda descartar dichas posibilidades antes de proceder.

Identificar la infección

Una vez que se determinó que efectivamente el equipo se encuentra infectado deberemos proceder a determinar dónde se encuentra la infección y qué acciones maliciosas realiza la misma. Existen varias formas de determinar esto, entre ellas revisar los procesos que se cargan al iniciar el sistema operativo. Para realizar lo antes mencionado, primero se deberá abrir la "Utilidad de Configuración de sistema de Windows", por lo que se debe hacer clic en el botón de "Inicio" de Windows para luego escribir "msconfig" en la barra de búsqueda como se muestra en la imagen a continuación:

Apertura de MsConfig

Al presionar la tecla "Enter" se iniciará dicha aplicación, donde deberemos seleccionar la solapa "Inicio de Windows". Allí podremos observar todos aquellos procesos que son ejecutados al iniciar nuestro sistema operativo:

MsConfig Inicio

Es muy importante poder reconocer todos los elementos aquí detallados ya que de esta forma podremos determinar rápidamente si existe alguna amenaza entre ellos. En este caso se observan los siguientes programas:

  • 2 procesos llamados VMware Tools (VMwareTray.exe y VMwareUser.exe) - Herramientas de la maquina virtual donde realice la captura.
  • ESET Smart Security (egui.exe) - Interfaz gráfica de la solución antivirus.
  • Snagit (SnagIt32.exe) - Programa que utilice para realizar las capturas.

Como pueden ver, todos los procesos son fácilmente identificables. En el caso de que aquí existiera un archivo no reconocido por el usuario, existe una posibilidad de que esa se la amenaza. Una fácil forma de verificar esto es mediante la utilización del servicio en linea que brinda VirusTotal, donde permite subir el archivo en cuestión a sus servidores para que éste luego lo analice con 43 motores antivirus, entre ellos ESET NOD32 Antivirus.

De ser detectado por alguno/s de dichos motores se deberá destildar dicho proceso para así evitar que el mismo se inicie automáticamente en el próximo reinicio. Luego se deberá hacer clic en "Aplicar" y luego "Aceptar". Inmediatamente se presentará la siguiente pantalla:

MsConfig reinicio

Se deberá reiniciar el equipo para que se apliquen los cambios y así evitar que la amenaza se vuelva a cargar. Adicionalmente se recomienda eliminar de forma manual dicho archivo y vaciar la papelera de reciclaje.

Existe la posibilidad de que la amenaza que nos haya afectado no permita la apertura de "MsConfig", por lo que deberemos recurrir al editor de registro (RegEdit), al administrador de procesos (TaskManager) o, dependiendo de la cantidad de servicios afectados, incluso de un Live CD/DVD/USB. De igual manera estos casos serán tratados en la segunda entrega de este post.

Eliminar la infección

Como indicamos anteriormente, se deberá eliminar la amenaza manualmente una vez identificada la misma y siempre y cuando ésta no se encuentre en ejecución. Caso contrario se deberá abrir el "Administrador de tareas" (Ctrl+Alt+Supr), buscar el nombre que la identifica y luego hacer clic en "Finalizar proceso". A continuación una captura representativa:

Administrador de tareas

En caso que aún así no se pueda eliminar la misma se deberá ingresar al sistema en "Modo seguro" para intentarlo desde allí. Una vez realizado esto se deberá analizar el equipo con una solución antivirus, de no poseer una instalada, se puede optar por utilizar ESET Online Scanner.

Prevenir la reinfección

Se recomienda instalar una solución antivirus con detección proactiva al igual que mantener el sistema operativo y las aplicaciones instaladas con las actualizaciones al día. Adicionalmente es altamente recomendable mantenerse informado en materia de seguridad y malware para así conocer las ultimas tendencias y posibles vectores de ataque.

En conclusión, existen muchos métodos o comprobaciones que se pueden realizar para determinar fehacientemente si nuestro equipo fue comprometido o no, por lo cual los invitamos a realizarlos. Adicionalmente disponemos de recursos online donde también se explican prácticas similares. La seguridad de nuestro equipo es un tema serio que debe ser considerado para evitar que nuestros datos y privacidad sean expuestos.

Joaquín Rodríguez Varela
Malware Lab Engineer