Problemas y avisos más frecuentes, Helkern, troyanos, centro de seguridad, problemas

Tema en 'Seguridad Informática' iniciado por Bae Su Ji Suzy, 9 Sep 2008.

Estado del tema:
Cerrado para nuevas respuestas
  1. Bae

    Bae Su Ji Suzy
    Expand Collapse
    Comandante
    Usuario destacado

    Mensajes:
    2.420
    Me Gusta recibidos:
    7
    Win.MSSQL.worm.Helkern

    1) Que es Helkern?
    Helkern es un gusano de internet, que explota las vulnerabilidades en Microsoft SQL Server 2000.
    Puedes encontrar más información
    aquí o aquí.

    2) Quien esta atacándome y porque?
    Estos ataques son creados por malware, que intenta infectar otros pcs vulnerables. Están automatizados, y su objetivo son equipos al azar. Los pcs atacantes son a la vez victimas del mismo malware.

    3) Como puedo protegerme?
    Primero de todo el sistema de detección de intrusos (IDS) en KIS bloquea este ataque, por lo que estás seguro. Cuando el IDS bloquea un ataque, tu recibes una notificación como esta (Las imágenes son de la versión inglesa, a nosotros nos aparecerá en Español):

    [​IMG]

    Aunque sin el IDS para bloquear el ataque solo algunos pcs son vulnerables a este ataque, los equipos que estén ejecutando Microsoft SQL Server 2000, y que no hayan instalado el parche de Microsoft para solucionar esta vulnerabilidad.
    Por este motivo es muy importante tener el pc actualizado. No solo nos servirá contra esta forma de malware, sino contra otras también.

    4) Como puedo deshabilitar esta notificación?
    Sino quieres recibir esta notificación o estas cansado de recibirla, puedes deshabilitarla fácilmente, pulsa en la notificación, arriba a la derecha en la flecha hacia abajo, y selecciona "Deshabilitar esta notificación".

    [​IMG]




    Keylogger

    1) Que es este mensaje y porque aparece?
    Desde la versión 6.0.1.411 (también conocida como MP1) KAV/KIS 6 podía detectar los keyloggers basándose en el comportamiento de una aplicación.
    Por este motivo, aparecen los mensajes del KIS sobre ciertas aplicaciones, mensajes como este:

    [​IMG]

    No son falsos positivos. KAV está detectando la actividad del keylogger basada en su comportamiento (capturando ciertas claves, filtrando claves, etc...), tal y como ocurre con los auténticos keyloggers.

    2) Como puedo decir si el programa es legitimo?
    Si no estás absolutamente seguro de un programa o aplicación en concreto, puedes usar un motor de búsqueda en internet (Google, Yahoo, Ask, etc.) para buscar por el nombre o búscala en el foro.

    Si estás seguro que la aplicación es legítima (Por ejemplo ICQ, Skype, etc ..) puedes añadirla a la zona de confianza, desde la ventana que aparece.

    [​IMG]

    Si no has encontrado una información concluyente o es un genuino keylogger, abre un nuevo post en este enlace http://forum.kaspersky.com/index.php?showforum=19

    3) La opción de terminar esta deshabilitada en alguna de las ventanas de los keylogger.
    El programa detecta al keylogger como driver, como no puede terminar con un driver al vuelo, solo la opción de permitir está habilitada.

    4) Kernel mode memory patch
    Si te aparece una alerta de este tipo de keylogger, el nombre del keylooger , y estás usanando un programa HIPS (sistema de prevención de instrusión en el equipo) como Systema Safety Monitor o Process Guard, entonces puede añadir de manera segura el programa a la zona de confianza. Este comportamiento es normal en este tipo de herramientas.

    5) Incremento en la actividad de "Keylogger" después de actualizar a la v7
    Comenzando con la v7 Kaspersky Internet Security, y Anti-Virus incluyen una protección adicional contra los Keyloggers. Una de estas es la detección de programas usando métodos de introducción directa de datos en el DirectX para keylogging. Desafortunadamente muchos programas legítimos usan estos métodos también, muchos juegos, reproductores multimedia.
    Si tienes la certeza que el programa es seguro (un juego normal de una gran compañía como EA por ejemplo o un reproductor multimedia como WinDVD o PowerDVD) entonces añade esos programas a la zona de confianza.



    Violación de la integridad

    1) Por qué me sale este mensaje?

    Si tienes activada el Control de la integridad de las aplicaciones, seguramente obtendrás este tipo de mensaje. El control de integridad vigila una lista de las llamadas aplicaciones críticas. Los cambios provovados por malware en estos programas puede comprometer seriamente el sistema. Este componente te avisará cuando se produzcan cambios en estas aplicaciones o cuando una de ellas intente cargar un módulo nuevo o modificarlo. En este caso mostrará una alerta como esta:


    [​IMG]


    2) Qué puedo hacer?

    Al principio este tipo de mensaje aparece con frecuencia mientras todos los modulos cargados son nuevo o modificados.
    Si haces click en Detalles verás otra pantalla. En la pestaña Modulos verás información sobre este módulo, información como la ruta, versión, fabricante y descripción. Si no sabes si puedes confiar en él, puedes buscar el nombre del archivo en internet. Después de que hayas decidido si el módulo está limpio o no, puedes permitirlo o bloquearlo.
    Si sabes que tu equipo está limpio puedes ahorrar tiempo marcando Aplicar a todo. Con esta opción, todos los módulos cargados por esa aplicación serán permitidos o bloqueados.
    También si el módulo es utilizado por más un programa (por ejemplo, archivos del directorio windows\system32 suelen ser compartidos por varios programas) puedes añadirlos a la lista de dlls compartidas si no quieres ver más avisos si el módulo es cargado por otra aplicación crítica. Esto se logra marcando Añadir a las dlls compartidas en la parte de abajo del aviso.
    Después de actualizar un programa o windows puedes ver el aviso para el módulo que habías permitido. Esto es normal porque el archivo ha cambiado desde la última vez que fue cargado.

    3) Accidentalmente bloquee un módulo.
    Si bloqueas un módulo, verás una alerta cada vez que el el programa intenta cargar ese módulo. La alerta muestra el nombre de la aplicación crítica para la cual el módulo fue bloqueado (en este caso iexplore.exe, Microsoft Internet Explorer).
    [​IMG]

    Ve a Configuración, entra en Defensa Proactiva en la parte izquierda, y haz click en el botón configuración junto al Control de la Integridad de las aplicaciones. Esta ventana que ves muestra la lista de aplicaciones controladas, cuando encuentres la que buscas seleccionala, y haz click en detalles. La siguiente ventana te da una visión de los módulos que tiene una acción definida. Busca el módulo bloqueado (puedes localizarlo por la acción marcada) seleccionalo, y haz click en Modificar y cambia la acción de bloquear a permitir. Pulsa ok para salir de la configuración.

    [​IMG]


    4) Esto es muy complicado para mí.
    El control de integridad es un componente pensado para usuarios que tienen conocimientos de informática. Si estas alertas te molestan o no puedes comprender los mensajes, puedes desactivar este módulo, en Configuración, Defensa Proactiva. No perderás apenas protección.

    Autoprotección
    A partir de la versión 6, Kaspersky Antivirus y Kaspersky Internet Security incluyen la opción de autodefensa. Esto impide a otros programas:
    - Acceder a los procesos avp.exe o inyectar código en ellos
    - Terminarlos
    - Eliminar/cambiar los archivos, carpetas o claves del registro del programa
    Cuando un programa intenta acceder a uno de los procesos avp.exe o terminarlos, verás un mensaje como este:

    [​IMG]

    Como muestra el mensaje la acción fue bloqueada, y no tienes que hacer nada. Un montón de programas habituales de windows mostrarán estas alertas. No son peligrosos, y no tienes que dejar llevarte por el pánico si ves este mensaje.
    Si esta alerta te molesta, puedes desactivarla haciendo click en la flecha del mensaje, y eligiendo Desactivar esta notificación:

    [​IMG]

    Invasores & Invasores(loader)

    1) Qué son?
    A partir de la versión 6 Kaspersky Antivirus y Kaspersky Internet Security incluyen un módulo de Defensa Proactiva (bloqueador del comportamiento) que puede detectar actividades sospechosas basándose en el comportamiento de un programa.
    Invasor es el calificativo que se da cuando un proceso intenta inyectar código (inyección de código) en otro proceso para manipular algunas opciones. Esto se corresponde con la opción "Infiltración en el proceso" de la configuración del Analizador de Actividades.
    Invasor (loader) aunque similar en el nombre a Invasor tiene comportamiento diferente. En este caso el proceso intenta inyectar un módulo en otro proceso (inyección dll). Esto corresponde con opción subcontrol de ventanas [cuestionable traducción de windows hook] de la configuración del Analizador de Actividades.

    [​IMG]

    Cuando ocurra algo así la alerta será similar a esta:

    Invasor:

    [​IMG]

    Las opciones permitidas son:
    Terminar: La inyección será bloqueada, y el proceso que lo intenta terminado.
    Denegar:La inyección será bloqueada pero el proceso que lo intenta seguirá activo.
    Ignorar: Se permite la inyección.
    Añadir a la zona de confianza: Se añadirá el programa a la zona de confianza, y no aparecerán más detecciónes de ese proceso como Invasor.

    Invasor (loader):

    [​IMG]

    Las opciones permitidas son:
    Terminar: La inyección será bloqueada, y el proceso que lo intenta terminado.
    Permitir: La inyección se permite.
    Denegar: La inyección será bloqueada pero el proceso que lo intenta seguirá activo.
    Añadir a la zona de confianza: Se añadirá el programa a la zona de confianza, y no aparecerán más detecciónes de ese proceso como Invasor (loader).

    2) Entonces, qué debería hacer?
    Invasor & Invasor (loader) pueden restringirse a un programa, lo que significa que es fácil indentificar el programa causante. En este caso puedes buscar en el foro o usar un buscador como Google para conseguir más detalles sobre el procesos o si esa detección ha ocurrido antes. Si decides que el programa es seguro, puedes añadirlo a la zona de confianza.


    [​IMG]

    Si no estás seguro puedes enviarlo para analizar
    a newvirus@kaspersky.com o abrir una conversación en el foro.
    (Leete el enlace "enviarlo para analizar", para saber como debes proceder al envio)
    Hay algunos programas que pueden actuar así como juegos o programas como los capturadores de pantalla.

    3) Me salen estos mesajes de todos mis programas

    Esto suele ocurrir por un conflicto con otro programa o con malware.
    Algunos programas conocidos pueden dar estas alertas:


    Spyware Doctor
    Comodo Firewall
    Programas para personalizar windows como Windows Blinds
    En este caso puedes desactivar la opción de la Defensa Proactiva o desinstalar el programa. En algunos casos esto no menoscaba tu protección (por ejemplo Comodo Firewall también detecta estas inyecciones)
    Si no descubres que es lo que lo causa abre una nueva conversación.






    Trojan.generic y Trojan.cryptor

    Trojan.generic

    1) Por qué me sale este mensaje?

    Trojan.generic es una de las alerta más usuales que verás generalmente al realizar instalaciones. El comportamiento de la detección es sencillo. Si un programa crea una copia de si mismo en algún sitio, y registra esa copia como un elemento del inicio de windows entonces aparece esta alerta.

    [​IMG]

    Mucho malware usa este método para instalarse a si mismos en el ordenador. Algunos programas muestran este comportamiento cuando el instalador, y el ejecutable son el mismo archivo. Igualmente al desinstalar también puede aparecer este comportamiento, cuando un programa coloca un ejecutable temporal en el inicio para eliminar partes de la instalación.

    2) Qué puedo hacer?

    Las opciones disponibles son:
    Poner en cuarentena: el proceso será terminado, y el archivo puesto en cuarentena. Aparecerá un mensaje de restaurar. Haciendo click en el botón restaurar los cambios realizados por el programa se revertirán.

    Terminar: Se termina el proceso, pero el ejecutable todavía permanece en el mismo lugar que antes.
    Saltar: La acción es permitida.
    Añadir a la zona de confianza: Se crea una máscara de exclusión para el correspondiente ejecutable.

    Si estás instalando/desinstalando programas o has hecho click en la opción "cargar al inicio" y ves este comportamiento, generalmente se refiere a una aplicación de confianza. Haciendo click en Detalles, y viendo la pestaña de Historia otras acciones de la aplicación.
    Si el programa es de confianza puedes añadirlo a la zona de confianza, y si es una instalación solo verás el aviso una vez o dos, por lo que Ignorar es la mejor opción.

    Si no reconoces el proceso, entonces intenta buscar en el panel de historia, es posible que veas qué archivos ha creado el proceso, y si concuerdan con el programa instalado. Si crees que es malware, o si desconfias, pon en cuarentena el archivo, y mándalo a analizar como es describe aquí.


    Trojan.cryptor

    1) Porque me sale este mensaje?
    Trojan.cryptor es otro mensaje comun, pero no es facilmente reproducible como en el caso de Trojan.generic. Esto ocurre cuando un programa intenta encriptar ciertos datos, la ventana que aparece es similar a esta:

    [​IMG]

    Es un malware que encripta nuestros documentos/ficheros, y a continuacion nos solicita dinero para conseguir la clave que lo desencripta, por lo que esta deteccion nos puede ser de gran ayuda.

    2) Qué puedo hacer?
    Las opciones existentes son:


    Poner en Cuarentena: El proceso es terminado, y el fichero es llevado a la zona de cuarentena. Aparecerá un mensaje de restaurar. Haciendo click en el botón restaurar los cambios realizados por el programa se revertirán.
    Terminar: Se termina el proceso, pero el ejecutable todavía permanece en el mismo lugar que antes.
    Saltar: La acción es permitida.
    Añadir a la zona de confianza: Se crea una máscara de exclusión para el correspondiente ejecutable.

    Si el programa es de confianza puedes añadirlo a la zona de confianza. Si crees que es malware, o si desconfias, pon en cuarentena el archivo, y mándalo a analizar como es describe aquí.



    El Centro de Seguridad de Windows, incluido en Windows XP SP2 y en Windows Vista, es una manera sencilla de poder ver el estado de la seguridad de nuestro pc , pero a veces comete errores. Por ejemplo, al reemplazar una suite de seguridad por otra.
    A veces el Centro de Seguridad no detecta el Kaspersky. No es importante, pero puede resultar molesto por los avisos

    Para solucionarlo:

    .........................................
    Es necesario que el sistema operativo repare el servicio Windows Management Instrumentation.
    Antes de proceder, debemos crear un punto de restauracion por que si por alguna razón cometemos un error al realizar ...................................................
    1 Ejecutamos la utilidad Restaurar Sistema de la siguiente manera

    [​IMG]

    2 Damos click en Abrir Protección del sistema
    [​IMG]
    3 Seleccionamos la unidad ejemplo disco duro donde crearemos el punto de restauracion
    [​IMG]
    4 Nombramos el punto de restauracion por ejemplo FUBAR
    [​IMG]
    y damos click en Crear una vez hecho esto ya tendremos el punto de restauracion creado y podemos proceder sin ningun problema en caso de que hagamos algo mal podremos restaurar el sistema sin problemas

    5 Vamos a inicio nuevamente y en Search agregamos lo siguiente services

    [​IMG]
    la siguiente ventana que veremos sera una lista completa de todos los servicios y localizaremos la entrada Windows Management Instrumentation

    En Xp, inicio, ejecutar: services.msc

    [​IMG]
    6 Una vez localizada la entrada mencionada damos doble click en esa entrada y pausamos o simplemente detenemos la aplicacion tal y como lo muestra la siguiente imagen
    [​IMG]
    Tardará algunos segundos para que windows pare el servicio después de que hemos dado a pausar o parar , dejemos esa ventana abierta . Ahora usted nesesitara eliminar la carpeta especificada . :NOTA: No eliminar ninguna otra carpeta excepto la especificada
    7 Vamos a mi pc y abrimos el disco duro o donde sea que tengamos instalado windows y damos doble clik en la carpeta Windows
    [​IMG]
    una vez que ya estamos dentro de la carpeta Windows procedemos a localizar la carpeta System32
    [​IMG]
    dentro de la carpeta System32 localizamos la siguiente carpeta llamada wbem
    dentro de
    wbem podremos encontrar una carpeta llamada Repository la cual contiene información tal y cómo es reportada a el centro de seguridad de windows por ejemplo acerca de programas instalados como Firewall, antivirus antispywares, etc .
    [​IMG]
    Tras localizar la carpeta Repository procedemos a eliminarla
    :NOTA: para poder realizar esto nos aseguramos de que tenemos abierta la ventana de Services y aún tenemos pausado Windows Management Instrumentation

    y bueno por último ya que hemos eliminado Repository simplemente reactivamos Windows Management Instrumentation

    Reiniciamos y seguramente no será necesario reinstalar Kaspersky.



    Errores durante la instalación por aroon7651

    Error: You must restart your computer before proceeding with the installation

    Error Usted deve reiniciar su computadora antes de proceder con la Instalacion
    ........................
    ........................................

    [​IMG]

    * Kis/Kav2009
    * Kaspersky Internet Security 7.0 MP1 (build 7.0.1.325)
    * Kaspersky Internet Security 7.0 (version 7.0.0.125)
    * Kaspersky Anti-Virus 7.0 (version 7.0.0.125)
    * Kaspersky Anti-Virus 7.0 MP1 (build 7.0.1.325)

    Instalacion/Desinstalacion


    si después de la instalacion del producto kaspersky a aparecido un error y no desaparece aun despoes de reiniciar el pc y aun despoes de varios intentos de reinstaalcion aun sigue apareciendo .. entonces porfavor realise lo siguiente para resolver el problema ..


    * Descargar el archivo DisableReboot_7.zip
    * Ejecute el archivo DisableReboot_7.reg el cual se encuentra dentro de DisableReboot_7.zip
    * En la ventana del editor del registro dele clik en YES para confirmar los cambios en el registro

    [​IMG]

    Dar Clik OK

    [​IMG]

    Despoes de esto volvamos a reinstalar el producto kaspersky .. esto debe solucionar el problema
     
  2. Har

    HardStyle
    Expand Collapse
    Recluta

    Mensajes:
    27
    Me Gusta recibidos:
    0
    Muy bueno tu post! Se te agradece x la info!
     
  3. IPh

    IPhanTerInT
    Expand Collapse
    Cabo

    Mensajes:
    157
    Me Gusta recibidos:
    0
    Gracias por la info me ayudo bastante
     
Estado del tema:
Cerrado para nuevas respuestas

Compartir esta página