Hoy en día muchas personas cuando tienen un problema con un posible Malware optan por utilizar un antivirus para realizar un descarte de software malicioso (Esto es algo que realizan desde los usuarios de casa hasta la gran mayoría de usuarios avanzados). Hace unos años era usual que se presentarán algunos inconvenientes en las computadoras y estos automáticamente eran asociados a un Malware, muchos procedían a utilizar un Antivirus y cuando los problemas persistían procedían a formatear la computadora; en la mayoría de los casos se solucionaba el problema con cualquiera de estas opciones (utilizando un antivirus o formateando la PC). Pero hoy en día es algo que no se cumple, mas del 99.99% de los malware actuales no presenta síntomas y da la impresión que las computadoras están bien; y por tanto nadie realiza un descarte de malware a manera profesional (Las personas están asumiendo que su computadora no está infectada). Un problema actual es que existe un grupo muy grande de técnicos y pseudotécnicos en computación que al ver un problema en la computadora optan por pensar que se trata de un Malware (algún tipo de código malicioso), y utilizan un antivirus o algunos programas (utilitarios) que supuestamente ayudan a detectar y eliminar algunos tipos de códigos maliciosos; pero no necesariamente esto ayuda a resolver el problema. 

Lo usual cuando un Antivirus no puede eliminar un Malware, es que los usuarios opten por utilizar diversos métodos para tratar de eliminar un supuesto código malicioso. Hay que tener en cuenta que son muy pocas las empresas que optan por realizar un descarte de malware en forma periódica y de manera profesional, y solo rastrean códigos maliciosos (utilizando Antivirus) cuando la computadora presenta ciertos tipos de anomalías. Esto es un gran problema, ya que casi todos los Malware trabajan en forma sigilosa y no presentan síntomas en los equipos infectados. En esta oportunidad se describirá lo que no se debe hacer para detectar y/o eliminar algún tipo de software malicioso.

Para la mayoría de personas lo primero que nos viene a la cabeza es utilizar un software antivirus, luego un software antimalware, un antispyware, luego utilizan diversas herramientas que supuestamente nos eliminarán algunos software maliciosos conocidos, y finalmente existe un número muy reducido de usuarios que utilizaran algunas aplicaciones que supuestamente capturan cierto comportamiento de los procesos de memoria (En este punto es muy importante saber cómo realizar ese proceso, y conocer exactamente cuáles son las mejores aplicaciones).

Empezamos utilizando un software antivirus, aquí lo importante es entender que un Antivirus solo va a detectar los Malware que se encuentran en su lista de definiciones(Base de Datos de Virus); por tanto no detectará millones de códigos maliciosos. Esto es una realidad que muchas veces los especialistas en seguridad informática optan por ignorar (y algunos desconocen). Hay que tener en cuenta que los Antivirus en general detectan entre 100 a 200 millones de archivos maliciosos, pero también dejan de detectar millones de Malware. Entonces si creemos que nuestra computadora puede tener algún tipo de código malicioso, pasar el antivirus nos podría ayudar siempre y cuando el antivirus este en la capacidad de detectar al Malware. Algunos optan por ejecutar otro antivirus para tener una segunda opción de detección. La ejecución de un segundo Antivirus nos puede ayudar, pero tiene 2 inconvenientes, el primero es que toma demasiado tiempo y lo segundo y más importante es que nos genera una falsa sensación de seguridad porque pensamos que nuestras computadoras están libres de códigos maliciosos; cuando la realidad nos dice otra cosa. Es importante resaltar que son millones de códigos maliciosos que los software antivirus dejan de detectar, esto representa un gran brecha en la seguridad informática de una organización.

Con respecto a los software Antimalware existe mucha confusión, es importante mencionar que los productos Antimalware son lo mismo que los software Antivirus. Al principio los programas que permitían eliminar a los códigos maliciosos se llamaban Antivirus, con el pasar del tiempo y la clasificación de diversos tipos de software malicioso, y utilizar el término Malware, el termino Antivirus quedaba corto (eso supuestamente podría indicar que solo elimina virus y no los otros códigos maliciosos, pero en realidad también puede eliminar cualquier tipo de código malicioso). Uno de los primeros programas que opto por esta denominación fue Malwarebytes (Antimalware Malwarebytes); es gracias a este software que empezó toda la confusión. Como ya se sabe, no se puede utilizar 2 Antivirus en tiempo real en un mismo equipo, pero Malwarebytes fue uno de los primeros Antimalware(Antivirus) que tienen esa opción. Tiene la ventaja que no causa problemas con muchos Antivirus (puede coexistir con la mayoría de Antivirus tradicionales sin causar grandes inconvenientes), fue una opción para muchos técnicos de computadoras. Pero en ambientes corporativos no se propago su uso, como si se hizo en usuarios “Home User” y Pymes; esto principalmente porque de alguna manera se ve afectado el performance del equipo con algunas aplicaciones de uso corporativo. Entonces contar en forma adicional con el Malwarebytes puede ayudarnos (es como tener 2 antivirus), pero igual dependeríamos de la base de datos de virus del Antivirus tradicional de la PC y la Base de Datos del Malwarebytes, dejando millones de códigos maliciosos sin detectar. Y en algunos ambientes corporativos esto puede generar problemas con bases de datos, SAP, aplicaciones propietario, etc.

Muchos técnicos y pseudo técnicos al ver que utilizando antivirus no pueden solucionar su problema con los supuestos virus (Malware) recurren a aplicaciones no convencionales que circulaban por los foros y algunas páginas web supuestamente especializadas en software malicioso. Aquí empieza una lista interminable de aplicaciones de software como son el Ccleaner, Combofix, Hijackthis, varios Antispyware, y aplicaciones que eliminan adware. Muchas de estas aplicaciones originan fallas en el sistema operativos, eliminan información clave para realizar un proceso de Auditoria informática, un análisis forense, un troubleshooting de Windows, etc. De esta manera al ejecutar una aplicación que no se conoce a fondo su uso, y como realmente trabaja internamente estaríamos afectando a la computadora. Sabemos que para muchas personas les ha dado soluciones frente a un determinado software malicioso; pero también existe la posibilidad de dañar el sistema operativo. Por tanto somos enfáticos en indicar que en Laboratorio Virus no podemos recomendar esta clase de aplicaciones para eliminar un Malware; ya que podría originar más problemas que soluciones. Obviamente este tipo de aplicaciones no garantiza que se elimine los malware al 100%, es usual que elimine algún malware que no utilice tecnologías stealth (malware básicos), dando a lugar que la maquina supuestamente se haya corregido la falla y el técnico piense que con esta aplicación se ha resuelto el problema; pero en muchos casos no es así.

También tenemos que algunos tratan de investigar en Internet cuando presentan al síntoma de Malware, visitan paginas de foros donde les indican que pasos realizar cuando la maquina es afectada por Pop-Ups, cuando la maquina esta lenta, cuando presenta ciertos síntomas de infección o ciertos problemas que aparentemente son causados por algún tipo de Malware. Esto hace que los usuarios recurran a los mismos pasos con cualquier tipo de Malware; esto básicamente estaría mal porque al no conocer cuál es la aplicación maliciosa exactamente, los pasos que sigamos no siempre tendrán un efecto positivo. En muchos casos los Malware trabajan con varios procesos en memoria y diversos archivos en el disco duro; y muchos de los pasos que indican en los foros son generalizados. Hay que tener en cuenta que la mayoría de Antivirus/Antimalware al momento de asignar un nombre para un determinado Malware por lo general utilizan el mismo nombre para miles de códigos maliciosos distintos; originando que cada uno de estos malware se comporten generalmente de forma distinta. Entonces al seguir los pasos generales que indican en Internet no siempre se estaría con la seguridad de que todo haya sido corregido(Muchos piensan que como el problema ya no se produce se habría solucionado el inconveniente, pero eso está alejado de la realidad).

En el caso de optar por la opción de tratar de detectar y eliminar en forma manual un malware, hay que tener en cuenta que muchos códigos maliciosos tienen programado rutinas de monitoreo que permiten rastrear cuando algo o alguien intenta eliminarlo; por tanto cuando se ven amenazados proceden a cambiar su modus operandi, deshabilitándose en forma inmediata, u ocultándose para no ser encontrados. Además hay que tener presente que se debe saber utilizar en forma correcta estas técnicas para poder tener la seguridad que realmente no exista algún tipo de código malicioso. Es usual que algunas personas traten de rastrear procesos en memoria de manera básica, y obviamente los resultados no serán tan positivos; ya que muchos Malware utilizan técnicas avanzadas para no ser detectados.

Finalmente no debemos formatear una computadora que tiene problema de Malware, obviamente es una alternativa sencilla y rápida en muchas ocasiones. Pero hay que tener presente que no siempre es una alternativa viable. Adicionalmente no es una buena práctica; ya que es importante poder capturar el archivo malicioso a fin de conocer contra que nos estamos enfrentando, y de esta manera poder prevenir una propagación masiva a toda nuestra red corporativa. Si podemos capturar al malware tendremos la opción de poder enviarlo a la empresa antivirus para que puedan generar una vacuna y de esta manera se estaría protegiendo nuestras computadoras con futuros ataques de ese malware en particular.

La gran pregunta que muchos se estarán haciendo es ¿Que se tiene que hacer para poder detectar cualquier tipo de código malicioso?; la respuesta es sencilla y compleja a la vez, se tiene que capacitarse en Detección y Eliminación en forma manual de manera profesional, la otra alternativa es dejar este proceso a personas especializadas en este rubro (lamentablemente casi no existen empresas que brinden estos servicios en latinoamerica). Algo que en la actualidad se debería de dar es que toda empresa mediana o grande debería de contar con un personal debidamente entrenado en descarte de malware para esta forma garantizar la seguridad informática en una empresa.

El tema es complejo pero para la gran mayoría lo han vuelto un tema supuestamente sencillo; realmente muy alejado de la realidad. Hay que tomar las medidas correctivas para poder detectar y eliminar los software maliciosos (Malware) que están poniendo en peligro la información almacenada en nuestras computadoras.

Ing. Mario Chilo Quiroz
www.laboratoriovirus.com