Existe un juego constante del gato y el ratón entre el malware, las empresas de software de seguridad y los usuarios de computadoras, y la posibilidad de que un bando gane la batalla parece, en el mejor de los casos, mínima.
Malwarebytes revelado recientemente en Malwarebytes Desempaquetado cómo opera Vonteera, un malware previamente clasificado como adware.
Si bien puede no ser de interés para muchos cómo opera ese malware en particular, los métodos que utiliza para infectar los sistemas informáticos y permanecer en ellos pueden muy bien ser los que utilizan otros malware.
Vonteera hace mucho para permanecer en el sistema: instala una tarea programada, un servicio, un objeto auxiliar del navegador en Internet Explorer, reemplaza los accesos directos del navegador conocidos para cargar sitios seleccionados al inicio, habilita una política de Chrome que les permite instalar aplicaciones y extensiones en el navegador que no se puede desinstalar y agrega varios certificados a la lista de certificados que no son de confianza.
Manipulación de accesos directos del navegador
Algunos métodos son utilizados por software publicitario y malicioso por igual. El cambio del acceso directo del navegador, por ejemplo, para cargar sitios al inicio. Hemos mencionado este método en 2014 y parece popular, ya que es fácil de hacer y muy eficaz.
Para verificar sus accesos directos, haga clic con el botón derecho en el acceso directo y seleccione propiedades. Localice la línea de destino en la página y verifique los parámetros en el campo de destino. Si encuentra una URL allí, se abrirá al inicio.
Instalación de servicio
Los servicios se pueden cargar al inicio del sistema operativo o cuando se necesitan, según su configuración.
Puede verificar todos los servicios existentes tocando la tecla de Windows, escribiendo services.msc y presionando enter. Es posible que reciba un mensaje de UAC que debe aceptar.
La interfaz ofrece solo información limitada. Si bien puede ordenar los servicios por nombre o estado, no hay ninguna opción para ordenarlos por fecha de instalación.
Si el malware instala un servicio en el sistema, puede obtener más información al respecto en el Registro de Windows.
- Toque la tecla de Windows, escriba regedit.exe y presione enter.
- Vaya a HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Nombre del Servicio
- Verifique la variable ImagePath, ya que resalta qué archivo se ejecuta cuando se inicia el servicio.
Tareas programadas
Las tareas se pueden ejecutar bajo ciertas condiciones, por ejemplo, al iniciar o apagar el sistema, en un día u hora específicos, o cuando la computadora está inactiva.
Para verificar Tareas en Windows, haga lo siguiente:
- Toque la tecla de Windows, escriba Taskschd.msc y presione enter.
- Seleccione Biblioteca del programador de tareas y revise las tareas enumeradas allí.
Puede eliminar tareas con un clic derecho y seleccionando «eliminar» en el menú contextual. También puede deshabilitarlos allí o verificar sus propiedades (para ver cuándo se ejecutan, qué ejecutan, etc.).
Objeto auxiliar del navegador de Internet Explorer
Los objetos auxiliares del navegador solo son compatibles con Internet Explorer. El nuevo navegador Edge de Microsoft no los admite.
Estos funcionan de manera similar a las extensiones, lo que significa que pueden cambiar y registrar sitios de Internet y tráfico, entre otras cosas.
Para administrar los objetos de ayuda del navegador en Internet Explorer, haga lo siguiente:
- Abra el navegador Internet Explorer en su sistema.
- Toque la tecla Alt y seleccione Herramientas> Administrar complementos en la barra de menú.
Revise todos los listados allí, especialmente las barras de herramientas y las extensiones. Puede desactivar elementos con un clic derecho y la selección de «desactivar» en el menú contextual. Un clic en «más información» revela el ID de clase del objeto auxiliar e información adicional al respecto.
Para eliminarlos, debe utilizar el Editor del registro en su lugar. Abra el Editor del registro de Windows y ejecute una búsqueda de la ID de clase usando el menú Editar> Buscar. Ingrese el ID de clase y elimine todas las claves que aparezcan.
Le sugiero que cree una copia de seguridad antes de ejecutar la operación solo para asegurarse de que puede regresar si las cosas salen mal.
Política de Chrome
El navegador Chrome de Google y Chromium admiten un gran lista de políticas que permiten a las empresas configurar preferencias en el sistema en el que se ejecuta Chrome.
La política ExtensionInstallForcelist agrega extensiones al navegador para todos los usuarios del sistema que estos usuarios no pueden eliminar.
Las aplicaciones o extensiones se instalan de forma silenciosa, sin interacción del usuario, y todos los permisos solicitados se otorgan automáticamente.
Certificados que no son de confianza
El malware agregó certificados de soluciones antivirus confiables a la lista de certificados no confiables en Windows.
Esto impidió que el programa se iniciara en el sistema y también impidió la descarga de programas desde el sitio web del desarrollador (siempre que el navegador use la Tienda de certificados de Windows, lo que hacen Internet Explorer y Chrome, pero Firefox odes no).
- Toque la tecla de Windows, escriba certmgr.msc y presione enter.
- Vaya a Certificados que no son de confianza y verifique todos los certificados enumerados allí.
- Un clic derecho le permite eliminarlos de la lista de certificados que no son de confianza.
Ahora tu: ¿Conoce otros trucos que utiliza el malware?