En caso de infección, ¿formatear o reparar?

Quiero plantear esta consulta a modo debate. Aprovecho para hacer el planteamiento de un escenario y os invito a que respondáis a través de los comentarios y, si fuese necesario, plantear otros. Así que la puerta está abierta.

<Escenario>
Un día, trabajando en el ordenador personal, o quizá en el ordenador de empresa, cuando tratas de escribir aparece una doble tilde “ ´´ ”, ¡oh, no… el famoso virus de la doble tilde!, 

Para quien no lo conozca comentar que –al menos la variante que yo he estudiado, aunque seguro que hay muchas más- es malware de tipo keylogger, recibe todas las pulsaciones y las reenvía a la aplicación que se encuentra “on top”, es decir, sobre la que estas trabajando. El problema es que está destinado a un teclado configurado en americano y no tiene implementado el acento.
 </fin escenario>

Vale, tenemos claro, que estamos infectados. Una rápida búsqueda en Google nos verifica la situación. ¿Cómo solucionarías esto? ¿Formateas? ¿Procedes a repararlo?

Esto, son conjeturas del autor, pero siempre que he tenido que reparar un equipo, me he planteado la siguiente duda. Tienes un antivirus actualizado, pasas X programas anti-espía, revisas con alguna utilidad los puertos que se tratan de abrir. Y el equipo está funcionando perfectamente. Todo parece indicar que el equipo está completamente limpio. Pero… ¿Lo está?

Si hemos sido vulnerados, ¿no podríamos tener 2 o más variantes del "bicho", una de ellas sin el fallo de acentos? ¿Podría ser que no se detecte por los motores del AV? ¿No podría hacer una migración a otro proceso que este actualmente en memoria –ej:Explorer.exe-? Y para finalizar, ¿Qué pasaría si sólo envía las teclas pulsadas 1 vez al mes –no saldría en un detector de puertos-?

Me gustaría saber que opináis al respecto. Y que solución es la que soléis realizar. Para ello os animo a intercambiar impresiones y votar en la pequeña encuesta que encontraréis en la barra lateral del blog. En caso de infección, ¿formatear o reparar?

Actualización: os dejamos los resultados de la encuesta. Como podéis comprobar el resultado estuvo reñido hasta el final...


19 comentarios :

  1. Yo lo tengo claro, si as sido vulnerable y te as infectado de un virus, ¿como te aseguras de que no han entrado mas?

    Virus en Ordenador Personal soluciones:
    -Formateo
    -Migrar a linux (recomendable)

    Virus Ordenadores de Empresa soluciones:
    -(Tener imágenes de los equipos)Volcar imagen
    -Migrar todo el sistema a linux

    ResponderEliminar
  2. Dependerá de cada escenario/situación; yo, por lo paranoico qque soy, intentaría averiguar el foco de infeción, y si técnicamente sigo sin estar convencido de la limpia, proceder de 0 -pero siempre intentando entender antes cómo ha podido pasar, ya que no va a estar uno formateando dada 2 días :-P-.

    Lo de migrar a Linux, me parece un comentario un tanto "inútil" y de gente con pocos conocimientos, es como si me dicen que si me pasa en mi Linux, que me migre a Mac OS jejejeje

    ResponderEliminar
  3. Hay que ser muy 'noob' para recomendar Linux, jaja..! Formatear es de perdedores, lol.

    ResponderEliminar
  4. Depende, si un equipo se infecto hay que buscar la causa y tratar de arreglar todo, para que no vuelva a pasar. Si el virus no rompe todo lo reparo y listo, ahora si el virus daño muchos archivos lo recomendable es formatear, depende de la acción del virus, formatear de una es el camino fácil, pero saber la causa de como se infecto, ahí esta la cuestión porque vamos a poder prevenir una futura infección, y en cuando a migrar de SO no lo recomiendo porque si no sabes bien linux vas a estar complicado. Saludos de Nicklabs...

    ResponderEliminar
  5. "Un antivirus limpia, pero un formateo purifica"

    ResponderEliminar
  6. Mi opinión es que la solución que reduce más el riesgo es formatear, pero si al final se hará eso o no depende principalmente de las copias de seguridad y lo fiables que sean (se han comprobado recientemente) y del tiempo que tengamos para volver a poner el equipo en producción.

    ResponderEliminar
  7. Inútil lo de linux? Ignorantes..
    En "tu" Linux (dudo que lo hayas usado alguna vez o sepas lo que es) no pasaría lo de los virus. Conoces antivirus para linux?
    Sigue con Mocosoft y pierde tiempo formateando o liberando memoria para que no te pete..
    Estudia que el de los pocos conocimientos eres tu

    ResponderEliminar
  8. Bueno, la idea era abrir un debate, y no una guerra entre usuarios. Por lo que os rogaría enterrar las hachas. Que siempre hay tiempo para medírsela uno.

    Si Vicente, me da permiso, ya me curraré una guerra entre S.O, y os demostraré por que XXXX es mejor que el vuestro. :P

    No obstante, en desarrollo, es IMPOSIBLE migrar de S.O, si es el personal, tsé, como si pones D.O.S, pero en un trabajo, es inviable. Tendrías que cambiar el S.O, y más tarde al usuario. Ya que dejaría en su totalidad de ser eficiente. Y hablo con conocimiento de la causa. -Quitarle a un usuario el acceso directo del escritorio, y tendrás un trabajador parado durante horas-

    Me gusta la idea de determinar, el foco de la infección como pudo llegar a producirse. Pero, de nuevo en una empresa ¿Lo puedes determinar? ¿Cuanto tiempo tienes para pasar con cada usuario, sin romper el SLA? Como decía House, ¿Te contará la verdad sobre el PPT de tetas enviado por su primo?

    ResponderEliminar
  9. Lo de enterrar el hacha me parece lógico, pero simplemente añadir que para "Linux" (dependerá de qué versión se hable) antivirus hay, basta hace una búsqueda en internet y tirando (no creo que nadie se crea ya eso, como pasó con los Mac...).

    En una empresa, dependiendo de qué tipo de virus se ha colado, creo que se hace más imperiosa la necesidad de determinar cómo se ha accedido, desde dónde, etc.

    No se vulnera en ningún caso la ley ni se atenta contra la privacidad -hay formas de hacerlo para ello-.
    Se entiende que se debe reparar el daño, pero debe saberse su causa porque si no, mañana tendremos el mismo problema, y en una empresa no se puede estar formateando o perdiendo datos cada semana :-).

    Lo que también resulta obvio es que si tienes una empresa con cientos o miles de PCs y/o servidores, no puedes andar cambiando de plataforma así como así, y menos en una tarde :-)

    Salu2!

    ResponderEliminar
  10. Es verdad, para Linux no hay Virus, y para Mac OS tampoco... ¬¬

    Hablando en serio, yo pienso que segun los 2 escenarios habria que actuar así:

    - PC Personal: Informarse antes un poco de los sintomas, buscar foco, ver como funciona detalladamente ese Troyano, Keylogger o lo que sea y aprender para la siguiente vez. Después formatear.

    - PC Empresa: Si es de los demás usuarios el PC seguirá expuesto a infinidad de ataques por falta de informacion o directamente porque no es un PC personal y no les importará, por lo tanto lo mejor es tener un buen backup... Planchar y sigamos...

    Saludos!

    ResponderEliminar
  11. Pues, yo normalmente, prefiero formatear, muchas veces es mas rapido, algunos virus se reproducen mas rapido e infectan muchos archivos, algunas veces de sistema, por ello siempre me gusta tener la parte de la informacion aparte de la del sistema operativo, asi formateo y queda listo para seguir rodando, y luego puedo escanear a ver que otro archivo se colo por mi otra particion, casi siempre uso una distro linux para revisar carpetas ocultas o cosas asi de windows y las elimino :)

    ResponderEliminar
  12. Yo las veces que me he topado con este dilema, siempre pregunte "En el caso de que se deba hacer un formateo que directorios y programas,etc... son imprescindibles" y crear una instantánea o maquina virtual a partir de ahí y cuando ocurran desastres restaurar.

    Las veces que juegas al ratón y al gato con el virus acabas con dolor de cabeza, por que seguramente si el virus se hace notar sera sencillo de quitar, pero como dices en la entrada, y los que no lo son? te pateas el registro de Windows?

    ResponderEliminar
  13. Solo haré una reconmendación a los que dicen de migrar a Linux, y ojo, uso bastante linux en servidores y escritorio pero también uso windows y me parece un sistema operativo fenomenal si sabes administrarlo adecuadamente.

    Lean el libro de Sergio de los Santos

    http://unaaldia.hispasec.com/2011/11/leyendo-maxima-seguridad-en-windows.html

    Estoy deacuerdo en investigar y dar con la raíz del problema.

    saludos,

    ResponderEliminar
  14. Yo formatearía y reinstalaría el sistema operativo a continación. Siempre me quedo con la mosca detrás de la oreja y además puede ser una buena excusa para hacer una limpia de toda la basura instalada en el sistema.
    Una observación: No quiero parecer purista pero para mi el concepto de formatear lo concibo SÓLO como adecuar un dispositivo de almacenamiento a un sistema de archivos existente tal como FAT32, NTFS, Ext3,et4 ... . Creo que los que nos gusta la informática tenemos que hablar con propiedad aunque sepamos que cuando una persona sin conocimientos nos pida formatear su ordenador sobreentendamos que lo que quiere es que le demos formato al disco duro y reinstalemos el Sistema operativo.
    Un saludo

    ResponderEliminar
  15. Todo depende de los datos que tengamos en el equipo...
    En un principio yo intentaría reparar el sistema sin formatearlo...
    Lo tendría monitorizado y seguiría desconfiando un tiempo... Si después de pasar un antivirus actualizado meses después sigue "limpio" parece poco probable de que podamos seguir infectados por ninguna variante del malware original.

    ResponderEliminar
  16. En mi opinión, siempre que sea posible yo optaría por la opción reparar en lugar de formatear.
    Primero porque es muy dificil tener una imagen lo suficientemente actual y siempre habrá que instalar más aplicaciones, faltarán archivos que se olvidaron en directorios locales, será necesario recuperar preferencias y configuraciones, etc.
    Y segundo porque si no se ha identificado el vector de ataque del artefacto correspondiente correremos el riesgo de que, al recuperar el equipo, el usuario vuelva por ejemplo a visitar la página comprometida con el malware y se vuelva a infectar. O incluso peor, podría infectarse sin que ni siquiera sea necesario la interacción del usuario, simplemente con la presencia de un gusano en la red que se aproveche de una vulnerabilidad del sistema operativo (¡maldito Conficker!), que utilice credenciales sustraidas anteriormente o, menos común, que se aproveche de una vulnerabilidad de tipo 0-day.

    En cuanto al escenario en el que nos encontremos, está claro que en el ámbito profesional prima ante todo la productividad del usuario. Lo primero sería poner al equipo en cuarentena, obtener la evidencia y preservar la evidencia. Eso es obtener una imagen del disco para llevar con más calma su análisis al laboratorio y proceder posteriormente a recuperar la funcionalidad normal del equipo, ya sea mediante las acciones de limpieza indicadas por las primeras detecciones o, si no hubiera más remedio, formatear el equipo (recuerdo algunos virus que se extendían por los ejecutables del sistema y polimórficos como Sality que te daban ganas de quemar el ordenador directamente).

    Inmediatamente después habría que analizar también la situación global, no sólo el sistema operativo afectado, y pensar por qué mis sistemas de seguridad no han podido para el ataque antes de la infección. Eso significar revisar cambios de configuración y logs de la seguridad perimetral de la red (firewalls), del proxy caché, de los IDS, de los servidores en segmentos de red adyacentes, de la consola de gestión del antivirus... y si se trata de un sistema medianamente complejo, deberíamos disponer de un SIEM para simplificar este trabajo.

    Por último, en cuanto a la eterna discusión sobre cual es el mejor y más seguro sistema operativo, pues para mi no hay mejores ni peores, todo depende del uso que se le de a cada uno.

    Saludos!

    ResponderEliminar
  17. Añado esta información a pesar de ser mitigación: http://www.securityartwork.es/2012/06/04/estrategias-basicas-para-mitigar-una-ciberintrusion

    ResponderEliminar
  18. PC personal: En mi caso formateo directo, si hay datos importantes se sacan y se vuelven a meter.

    PC de empresa: Debería haber backup de todos los datos importantes (debería) y una imagen de los equipos, restaurar imagen, restaurar datos y actualizar.

    Servidor: Aquí hay un debate más interesante, y no sabría que decir... tendría que ver el escenario

    ResponderEliminar
  19. y con el virus este que te secuestra los datos? que hago formateo la pc? y se elimina o com odicen por aqui se quedara con el gusano en la red?

    ResponderEliminar