LiveCD basado en Ubuntu centrado en la eliminación de malware de Windows
La mayoría del malware moderno puede desactivar los mecanismos de seguridad de los sistemas Windows con el fin de ocultarse y protegerse de ser eliminado por los antivirus que corren en el sistema, esta característica, hace que el proceso de identificación y eliminación sea una operación muy complicada y en la mayoría casos, imposible de llevar a cabo con el sistema operativo arrancado. Lo mejor es arrancar con una LiveCD, montar el disco del sistema Windows y usar herramientas de eliminación de malware, todo esto sin el sistema Windows arrancado.
Para estés casos Ubuntu MRT (Ubuntu Malware Removal Toolkit) una LiveCD basada en Ubuntu centrado en la eliminación de software malintencionado de Windows, es lo ideal. El propósito de esta distribución es la creación de un entorno portátil, que hace más fácil quitar el malware de los sistemas Windows infectados. Permite analizar rápidamente el disco de un equipo infectado sin tener que arrancar el sistema operativo.
Entre sus características destacan:
Estés scripts son:
Entre sus características destacan:
- Fácil de usar, incluso para los usuarios novatos de Linux.
- Posee scripts para Nautilus (el gestor de archivos en Ubuntu) para hacer tareas más fáciles.
- Encontrar información en línea que navegan por la web con Firefox directamente desde el LiveCD
- Soporta protocolos de red utilizados por Windows: puede navegar por redes Windows, resolver nombres de hosts, montar carpetas compartidas de Windows y utilizar RDP para controlar de forma remota servidores Windows.
- Permite crear fácilmente un LiveUSB con Ubuntu MRT directamente desde la LiveCD.
- Permite explorar y consultar los archivos de registro de Windows y detectar timestamp en NTFS.
- Facilita la búsqueda en línea para múltiples hashes de archivos con un solo clic de ratón, y enviarlos a servicios como: Virustotal.com, Team Cymru SHA1/MD5 MHR Lookup y otros).
- Analizar el tráfico de red utilizando herramientas preinstaladas como ntop y BotHunter.
Estés scripts son:
- Calcular Hash md5deep, crea un archivo CSV en el escritorio como que contiene hashes md5deep de los archivos y carpetas. Esta información se puede utilizar para diversos fines, un ejemplo de ello sería: para consultar los servicios en línea de la identificación de malware como "Team Cymru SHA1/MD5 MHR Lookup".
- Calcular Hash MD5Sum, crea un archivo CSV en el escritorio que contiene los hashes md5sum de los archivos y carpetas. Esta información se puede utilizar para diversos fines, un ejemplo de ello sería: para consultar los servicios en línea de la identificación de malware como "Team Cymru SHA1/MD5 MHR Lookup".
- Detectar timestamp en NTFS, un script que desmonta automáticamente la partición de Windows y utiliza la herramienta NTFSInfo para crear un archivo de texto en el escritorio que contiene los metadatos NTFS de todos los archivos seleccionados. En muchos casos, el análisis de estos metadatos, muestra si ha cambiado de manera poco natural la marca de tiempo de los archivos seleccionados.
- Analiza con AVG Virus Scanner, un script que analiza los archivos y carpetas seleccionados con AVG Virus Scanner.
- Buscar todos los archivos ejecutables, utilizando la herramienta "Miss Identify" para identificar todos los archivos ejecutables, entre los seleccionados.
- Buscar archivos ejecutables mal etiquetados, utilizando la herramienta "Miss Identify" para identificar, entre los archivos seleccionados, los ejecutables que se han cambiado de nombre y por lo tanto no puede ser reconocido por la extensión.
- Buscar en Team Cymru MHR, consultas en el servicio en línea para la identificación de malware "Team Cymru SHA1/MD5 MHR Lookup", y en el escritorio crea un archivo de texto en formato CSV que contiene los resultados de la consulta.
- Buscar en VirusTotal.com, calcula la huella digital (MD5 hash) de los archivos seleccionados y determina si se trata de malware, de forma automática. Mediante la consulta del sitio VirusTotal.com, crea un archivo CSV en el escritorio que contiene los resultados de la consulta.
Gracias por la información. Por lo que revisé en la web del autor, la herramienta es bastante antigua, la ultima actualización es del 2010, por lo que la duda es que si es posible actualizar el antivirus incluido, para que sea efectivo como herramienta de eliminación de virus y malware esto es imprescindible, y si no se cuenta con internet en el equipo afectado? Nuevamente muchas gracias por la información.
ResponderBorrarHola.
ResponderBorrarSoy lector habitual de este blog y me gustan las noticias que publicáis porque normalmente lo hacéis con sentido común y no publicáis cualquier tontería de las que se encuentran por internet.
Pero en este caso me siento obligado a decir que este texto lo ha escrito alguien que no tiene ni idea de lo que está hablando, ya que intentar detectar y/o eliminar malware basándose en las bases de datos de hashes de malware conocido (como virustotal por ejemplo) y en el análisis del "antivirus" AVG es de lo mas absurdo.
En resumen, los métodos que ofrece esta distro para detectar malware son totalmente inútiles.
Saludos.
Gracias por seguirnos.
BorrarCoincido en q la tool no es del todo util ni actualizada a las escenarios actuales de malware. Simplemente es una alternativa más a las cientos existentes.
Cristian
Anonimo, decir que virustotal no sirve es ser un completo ignorante en el tema.
Borrarya que sabes tanto, ilustranos como harias para probar la efectividad de un malware si no subis una muestra del mismo a un sitio como este que utiliza +40 motores diferentes
https://www.virustotal.com/es/about/credits/
Que solucion te ofrece herramientas de analisis a nivel file system?
El livecd esta muy bien ya que ofrece herramientas que el resto no.
Windows Defender Offline:
ResponderBorrarhttp://windows.microsoft.com/es-es/windows/what-is-windows-defender-offline