El ataque de los (ordenadores) zombies

Este titular que puede llamarnos la atención, sobre todo a los que somos aficionados a las películas de terror de serie Z es una constante que se repite diariamente cuando, miles de sistemas infectados realizan acciones sin conocimiento de su legítimo propietario, siendo controlados remotamente por el administrador de una botnet.

Estas acciones varían desde el envío masivo de spam y códigos maliciosos hasta ataques masivos de varias miles de máquinas contra webs o servidores específicos. Así pues, ¿cómo saber si su sistema forma parte de estas redes de ordenadores zombies?

Esta pregunta puede parecer difícil de responder para un usuario común por lo que se aconseja seguir una serie de recomendaciones que enumeraremos a continuación:

– La primera de ellas es comprobar si todos aquellos programas que se encuentren en ejecución en el sistema son aquellos que deberían estarlo. Para comprobarlo, existen múltiples herramientas, como Process Explorer, que realizan una monitorización de las aplicaciones en funcionamiento, mostrándolas en pantalla e indicando el porcentaje de recursos del sistema consumidos y a que compañía pertenece. No obstante, es posible que un rootkit este activo y oculte su funcionamiento a estas herramientas. Para detectar estos rootkits se pueden usar antivirus con capacidad de detectarlos, como ESET NOD32>, o herramientas especificas como Rootkit Revealer.

– Seguidamente, debemos comprobar que las conexiones salientes hacia Internet desde nuestro equipo corresponden a aquellos sitios que deberían estar accediendo. Es muy probable que un código malicioso instalado en nuestro sistema esté intentando comunicarse desde nuestro sistema hacia el exterior para propagarse, descargar nuevo malware, enviar información privada, spam o conectarse con el administrador de una botnet a la espera de recibir órdenes. Se puede analizar el tráfico de nuestra red usando herramientas ya incluidas en el sistema (como el comando NETSTAT desde la consola de comandos de Windows) o usando programas externos que cumplen este cometido como TcpView.

– Por último, y como complemento al primer punto, es importante revisar a fondo nuestro sistema usando un antivirus actualizado o scanner online. ESET NOD32 dispone de versiones de evaluación plenamente funcionales durante 25 días para aquellos usuarios que deseen probar el antivirus.

Así mismo, ESET pone a disposición de todos aquellos usuarios que lo necesiten ESET Online Scanner, pudiendo analizar su sistema sin tener que instalar el antivirus. Este análisis gratuito también permite la eliminación del malware detectado. De momento su uso esta restringido al navegador Internet Explorer.

Si se dispone de conocimientos en el análisis del registro de Windows se pueden revisar las siguientes entradas del mismo en busca de referencias a códigos maliciosos presentes en el sistema y eliminarlas manualmente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServicesOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce\Setup

Siguiendo estos consejos, podremos determinar si nuestro sistema pertenece a una red de ordenadores zombies o si es seguro. Aun en el caso de que nuestro sistema se encuentre limpio, no conviene bajar la guardia puesto que los intentos de infección del mismo se producen a diario.

Josep Albors