sábado, 22 de octubre de 2011

El antivirus se niega a limpiar fuera de casa

Sin querer distanciarme demasiado del tiempo derrochado, pero para bien aprovechado, desde que empecé en aquello de los Antivirus, siempre hubo una pequeña guerra de superación contra aquel enemigo público llamado Avira. Heurísticas y Proactivas se unían contra Indetectables que recuerda con anhelo lo que para nosotros en aquella época, siempre fue el mejor o al menos, más complejo AV de esquivar para troyanizar el mundo con nuestras mentes inquietas. La guerra aunque vaya por otro camino, a ninguno de los dos bandos nos sacia, pues realmente ambos jugamos en el mismo equipo.

Esta vez la idea era algo simple, pues no quería jugar a hacer maldades si no a corregirlas, supongo que todos aquellos que utilicen Avira en entorno laboral, se les haya ocurrido pasar el scaner a un equipo de su red, o simplemente a un disco duro que utilicen como almacén de datos común.

Para las pruebas, obviamente al estar en casa, tuve que robarle el equipo a mi propia madre en un descuido, luego se lo devolveré con un David Hasselhoff de fondo para alegrar la vista y no perder la costumbre. Así que creé una carpeta en el escritorio y le dí permisos para compartirla con lectura y escritura para mi usuario.




No sé a cuantos les sonará aquello de “conectar a una unidad de red”, simplemente el sistema asigna una letra para utilizar la carpeta compartida como un disco duro, aunque siempre aparece definido como ubicación de red y no como unidades de disco duro. Al pasar el antivirus de Avira Free, aparecerá lo siguiente.



La unidad “Y:” no puede ser revisada por el antivirus, ya que disponemos de una herramienta gratuita con alguna que otra limitación.

Así que me dirigí a mi Red y busqué la ubicación de la carpeta compartida que había creado con anterioridad en ADMIN-PC.




Al acceder, creé un archivo llamado HDD.zip para virtualizar un falso disco duro sobre ella. El archivo completamente vacío tan solo ocupaba 22 bytes, así que lo abrí con una utilidad llamada ImDisk para darle un poco de forma a mi futuro almacen.




Incorporando la ruta de red en el archivo donde se creará la imagen virtual, añadí la J como siguiente letra a utilizar, redimensioné el archivo para utilizar al menos 1Gb en red y asigné el tipo de almacenamiento que necesitaba, el de disco duro.




Una vez creado, el archivo pesa exactamente 1Gb.




Windows se alarmó y me avisó de que faltaba darle formato al disco.




Elegí NTFS y una etiqueta descriptiva para mi almacenamiento de datos en red.




Una vez formateado, el disco ya está disponible para la escritura como local, así que de momento se me ocurrió tirar mis archivos de descargas para tener más espacio en mi equipo... ¡total! seguramente que mi madre ni se entera ¡el porno va cifrado! por no decir del vecino que me prestó su Wifi la semana pasada en la anterior entrada.

Ahora veamos si Avira es capaz de llegar a los archivos y scanearlos aun estando fuera del equipo local, con la cantidad de porquería que se descargan y almacenan en las empresas seguro que algo detecta....





¡Uhh! ¡Vaya! Mis queridos Stub... habrá que omitirlo que este es amigo nuestro.

PD: Para engañar al antivirus, lo mejor suele ser engañar al propio sistema, si no recuerden los Rootkits del Kernel.

Saludos 4n4les! ;)

11 comentarios:

  1. Excelente Blog te sigo, vengo del foro de HackXCarck desde Seguridad a lo Jabali te seguimos!!!

    ResponderEliminar
  2. @Seguridad Jabali
    Muchas gracias! me alegro de que os guste! es un nombre llamativo el del Jabalí! jeje

    Saludos! =D

    ResponderEliminar
  3. Y mientras los antivirus se sigan comportando de esta forma... digo esta forma a poner firmas a APIs de windows inofensivas, a detectar el hecho de que un ejecutable tenga EOF... o simplemente a limitarse a escanear donde puedan llegar con un listado de logicaldrives y subcarpetas/archivos... los usuarios pueden decir que están protegidos... :)

    Buenísima entrada hermano ;)

    ResponderEliminar
  4. Y mira que me parecen inútiles los antivirus en Windows y más sin tener un cortafuegos decente aparte, pero en fin... Yo los tengo de adorno más que nada ya que ni siquiera uso Windows desde hace años :S. Cuando únicamente uso antivirus es cuando boteo el ordenador con el liveCD del G-Data para hacer una buena limpieza.

    Muy buena entrada... si digo la verdad nunca se me había ocurrido la posibilidad de analizar un ordenador externamente... Y benditas las restricciones de los programas propietarios!!! XD

    Saludos!!!

    ResponderEliminar
  5. Hola Germán, te cuento que como aún tengo lugar para votar en los premios Bitacoras a los blogs sobre seguridad Informática, he puesto mi voto para el tuyo. Es muy didáctico y claro. Por algo estás en la posición que estás.Y si te queda algún lugacito ¿votarías mi blog EDUCACIÓN DE ADULTOS, http://elsa-educacindeadultos.blogspot.com, pues quiero que se conozca lo que hacemos los docentes en esta modalidad. Muchas gracias, y suerte en los premios!
    Saludos desde Argentina.
    Elsa

    ResponderEliminar
  6. @P0is0n
    Gracias hermano! Ya me picaba el Avira desde hace tiempo...

    @byhanzo
    Buenas! No es cuestión de tomarles odio simplemente porque yo sea tan extremista redactando, realmente hoy en día tener un equipo sin cortafuegos, ni antivirus, es como ir a las Favelas en traje y limusina. (Nada como una protección Runtime)

    @Elsa
    Hola Elsa! gracias por el interés pero ya voté a un tipo con su blog "iPadSfera" que más tarde me enteré que mandaba a medio Bitácoras el mismo mensaje... no cofio ni en mi mismo, así que complicado confiar en esos votos, igualmente gracias.

    Saludos!

    ResponderEliminar
  7. Hola Germán, entiendo tu postura. Gracias igualmente por responder y dar tu parecer, que respeto.(Yo sí he puesto mi voto a tu sitio).
    Te hago una consulta, ya que estoy aquí: si yo copio la plantilla de mis blogs en un dvd, por ejemplo, ¿se copia también el "evento malicioso",en caso de que hubiera alguno, por ej.un virus?.
    Un saludo, y reitero lo que te dije: Mucha suerte en los premios. Saludos!

    ResponderEliminar
  8. @Elsa

    Efectivamente, pongamos de ejemplo que dentro de la plantilla de tu web se ejecuta un script malicioso que roba información a los usuarios que la visitan, dicho código no hará efecto sobre el sistema operativo si se encuentra en un DVD pues no corre bajo un navegador que lo interprete, pero si más tarde haces uso de esas plantillas sobre un hostin, es posible que exista una “puerta trasera”. Realmente algún “tipo malo” tuvo que hacerse con acceso anteriormente a la edición de tu web, e inyectar el código malicioso o haberlo introducido tú misma por equivocación, copiando y pegando el contenido de terceros. Espero haber respondido a tu respuesta.

    Saludos! :)

    ResponderEliminar
  9. Entendí, y me queda una gran intranquilidad en este tema.¿No hay manera de solucionarlo? ¿se puede perder todo el trabajo realizado,por ejemplo?
    Gracias,y saludos!

    ResponderEliminar
  10. @Elsa

    (Principalmente, debes saber que tipo de código insertas en tu página)

    Aunque hagas copias de seguridad para evitar futuras pérdidas, no está de más, tener un buen antivirus y cortafuegos instalado en tú equipo... esto no te va a librar de todo tipo de ataques, pero almenos sí de los más conocidos como algunos virus, troyanos, spywares...

    He visto que publicas con Blogger, éste tiene una función para exportar el contenido de todas tus entradas en un archivo, no viene mal tener un respaldo.

    Saludos!

    ResponderEliminar
  11. Así es, he exportado todos los archivos de mis blogs, aún así existen peligros.¿no?
    Muchísimas gracias por responder a mis preguntas. Saludos!

    ResponderEliminar