Detección y eliminación de virus con Knoppix

Knoppix es mi navaja suiza en versión software. Siempre suelo llevarlo conmigo por lo que pudiera suceder. En el espacio de un CD tengo a mi alcance un sistema Linux con centenares de herramientas de todo tipo listas para ser ejecutadas en cualquier ordenador sin necesidad de instalar nada en él.

Imagina que un día te llama un amigo con un problema gordo. Esto es algo inevitable para los que nos dedicamos a esto: los amigos se acuerdan de nosotros en estos casos. En fin, ¿para qué estamos si no?

Resulta que tu amigo tiene el ordenador infectado con un virus y no tiene manera de limpiarlo. Un virus activo en memoria puede engañar a un antivirus e incluso evitar que este funcione.

Después de recriminarle por su torpeza, cogemos Knoppix y nos dirigimos a su casa.

Knoppix incluye el antivirus ClamAV entre su conjunto de herramientas fabulosas. Antiguamente lo encontrábamos en la distribución en CD. En las últimas versiones sólo está disponible en el DVD.

En el momento de escribir este artículo la última versión de Knoppix es la 6.7.1.

Arrancamos el ordenador de nuestro amigo con el DVD de Knoppix dentro. El Windows que reside dentro del PC permanecerá dormido, sin arrancar, sin darse cuenta de lo que está sucediendo.

Esta es la gran ventaja de esto: el disco duro del ordenador está “frío”. No arrancamos Windows, no hay programas ni procesos suyos cargados. El virus, por lo tanto, también duerme plácidamente dentro de uno o varios ficheros.

Es como visitar a los vampiros en sus tumbas durante el día…

Arrancamos Knoppix directamente en idioma español y en la línea de comandos. No necesitaremos la interfaz gráfica para nada.

Ya sabemos, por artículos anteriores, como hacer esto. En el prompt de Knoppix escribimos:

knoppix 2 lang=es

Una vez arrancado Knoppix lo primero que debemos hacer es montar el disco duro que queremos analizar. Recuerda que, por defecto, el punto de montaje ya está creado en /media con el nombre de las particiones que Knoppix detecta al arrancar.

Veamos qué particiones tenemos a nuestro alcance:

fdisk -l

En el caso del PC de nuestro amigo, este comando nos devuelve la partición /dev/sda1. Es la que debemos montar:

mount /dev/sda1 /media/sda1

Con esto, ya tenemos el disco infectado al alcance de Knoppix dentro de la carpeta especificada.

Quizás te entre una duda ahora: la versión de Knoppix que tenemos puede que tenga varios meses de antigüedad. ¿Qué pasa con los virus nuevos desde esa fecha? ¿No los va a detectar?

Tranquilo; antes de escanear el disco vamos a actualizar el fichero de firmas del antivirus a la más reciente.

Basta con lanzar el siguiente comando:

freshclam

Naturalmente, la máquina debe estar conectada a una red desde la que acceder a internet. Nuestro amigo tiene el PC conectado a un router del que recibe directamente, mediante DHCP, una dirección IP. No ha hecho falta configurar nada, Knoppix, en la mayoría de los casos, se encarga completamente de todo sin necesidad de nuestra intervención. Si debes configurar una IP fija o tienes que conectarte a una Wi-Fi, tendrás que entretenerte un poco para dejar la red en condiciones.

En unos segundos ClamAV estará actualizado con la base de datos de virus más reciente.

Si llevas tiempo ya trabajando con Knoppix, esto que voy a decir te resultará obvio. Si no es así, debes saber que esta base de datos está en unos ficheros que están completamente en memoria. Knoppix es un Live CD y, por lo tanto, no escribe nada en ningún disco del sistema (salvo que así se lo indiquemos, tal y como vamos a hacer ahora limpiando la máquina). Cuando abandones Knoppix, se acabó también esa actualización. Si vuelves a arrancar tendrás que actualizar nuevamente el fichero de firmas.

Y ahora, a cargarnos el virus.

Podemos hacerlo de dos modos: escaneamos el disco, leemos el informe con el resultado, y eliminamos, con el comando rm de Unix, uno a uno, cada fichero infectado por el virus. O también podemos introducir, en el comando, una opción para que los elimine directamente.

Recomiendo la primera vía. Es más prudente que revisemos previamente el informe y después tomemos la decisión de si eliminar el fichero o no. No siempre los antivirus aciertan.

El comando es el siguiente:

clamscan -ir /media/sda1 > resultado

El parámetro -i indica que sólo me muestre resultados de ficheros infectados y obvie los que están sanos. El parámetro -r se utiliza para que la búsqueda se realice en el interior de todos los directorios recursivamente.

Observa como hemos redirigido la salida a un fichero de texto que hemos llamado resultado, que es el que deberemos consultar después para conocer el resultado del escaneo. Lo encontrarás en el mismo directorio en el que lanzas el comando.

Si no quieres molestarte en tomar decisiones de si borrar o no, puedes dejar que lo haga directamente clam con el parámetro remove:

clamscan -ir --remove /media/sda1 > resultado

Sales de Knoppix, guardas de nuevo tu DVD mágico en el bolso y dejas que tu amigo siga disfrutando de su Windows.

¿Qué menos que te invite a unas cervezas después, no?

Javier Montero


Anotación del 3 de abril de 2012: si ha pasado un tiempo desde que descasgaste tu último Knoppix, puede que te encuentres que el motor del antivirus esté desactualizado. Léete este artículo para saber cómo proceder en ese caso.


Detección y eliminación de virus con Knoppix


El texto de este artículo se encuentra sometido a una licencia Creative Commons del tipo CC-BY-NC-ND (reconocimiento, no comercial, sin obra derivada, 3.0 unported)


El Club del Autodidacta

Deja un comentario