Posible duplicado:
La computadora está infectada por un virus o malware, ¿qué hago ahora?
He sido infectado con el "Chequeo del sistema" scareware no una, sino dos veces, después de un reformateo. Ahora está claro que debo averiguar cómo me infecté.
Alguna información:
- Llevo 12 años en Internet y esta es la primera vez que me infecto con algún tipo de virus.
- Después de reformatear, no abrí ningún ejecutable que no fuera de confianza. De hecho, hice muy poco, como instalar Firefox, Visual Studio y algunos otros programas.
- Descargué e instalé todas las actualizaciones de Windows.
- Controlo qué puertos TCP tengo abiertos para conexiones entrantes.
- Visité muchos sitios web desde el reformateo.
- Mi disco duro E:\, que contiene todos mis datos y no fue formateado, no estaba montado.
En resumen: la infección no pudo provenir (al menos por segunda vez) de un error del usuario o de una contaminación cruzada.
Esto deja vulnerabilidades en el software que uso. Y me deja completamente perdido ya que todo lo que instalé personalmente lo volví a descargar y así se actualizó a la última versión.
3 de los 4 antivirus que probé (incluido AVG) no pudieron detectar la "Comprobación del sistema" aunque aún no se había eliminado y aún se estaba ejecutando. El cuarto finalmente lo detectó y también detectó un archivo infectado en: C:\Users\MyName\AppData\LocalLow\Sun\Java\Development\cache\6.0\56\6a3c9ff8-68fce308.
Java no está actualizado a la última versión (Versión 6, Actualización 21; la última es la Actualización 30). No lo instalé personalmente, debe haber venido con algo más que instalé (probablemente NetBeans), y me aseguraré de instalar yo mismo la última versión en el próximo reformateo.
Sin embargo todavía estoy preocupado. Ese archivo puede haber sido un falso positivo. La versión 30 aún podría ser vulnerable. Puede que no tenga nada que ver con Java y simplemente sea algún lugar donde el malware decidió instalarse para mantenerse oculto. Pueden ser 1000 cosas más.
¿Qué puedo hacer?
Respuesta1
Los dos vectores de infección más comunes para System Fix son las páginas falsas de escaneo en línea y la explotación de vulnerabilidades en complementos del navegador, como Java, o posiblemente en un lenguaje de programación del navegador como Javascript o VBScript (solo IE). tiene sentido ya que los complementos/scripts permiten al atacante ejecutar su código en su máquina tan pronto como visita un sitio web infectado; todo lo que necesita es una vulnerabilidad que le permita escapar de la caja de arena.
Dado que el malware se detectó en la caché de Java, parece probable que el complemento de Java desactualizado haya servido como medio de infección. Sólo sería necesario haber visitado un sitio web malicioso o comprometido para infectarse. Si se hubiera hecho bien, probablemente ni siquiera habrías notado que sucediera algo extraño.
La mejor protección contra ataques basados en complementos y scripts es, por supuesto, no permitir que se ejecuten. Esto se puede hacer de forma selectiva con un complemento del navegador como NoScript, o globalmente deshabilitando complementos y/o secuencias de comandos.