Actualizando software de Knoppix – Nueva visita a ClamAV

Hace un par de días, una de mis máquinas Windows (cada vez en menor número) fue contagiada por un rootkit. La eliminación de estos parásitos puede ser, a veces, una labor complicada si ya han tomado control de la máquina. A veces no hay mejor forma de proceder que tratar de deshacerse de ellos mientras «duermen», lo que implica que Windows no debe arrancar.

Ya escribí un artículo explicando cómo eliminar virus usando Knoppix. Así que introduje mi preciado DVD de Knoppix 6.7.1 (el antivirus ClamAV está en el DVD, no en el CD) y me dispuse a sanear el equipo.

Actualicé los ficheros de firmas, tal como está descrito en el artículo, pero recibí un aviso indicándome que el motor del antivirus estaba anticuado y se recomendaba su actualización.

Desde luego, podía haber ignorado el aviso y proceder con la detección sin más; después de todo, el fichero de firmás sí que estaba actualizado. Sin embargo, eso no habría sido una buena idea: para una detección lo más fiable posible es importante tener el motor de tu antivirus actualizado, pues de ese modo te aseguras de disponer de las técnicas más recientes para descubrir al enemigo, que cada vez es más sofisticado.

Pero claro, Knoppix es LiveCD, no estamos tocando en absoluto los discos duros del ordenador. ¿Podemos actualizar los paquetes de Knoppix, entonces?

Por supuesto que sí, pero no debemos olvidar que todo sucede en memoria. Todos los cambios desaparecerán tan pronto apagemos el ordenador (ya hablaremos, en su día, de cómo hacer cambios persistentes).

En este artículo mataremos dos pájaros de un tiro: a la vez que actualizamos el motor del antivirus, daremos unas pinceladas sobre la gestión de paquetes que pueden ser útiles para instalar o actualizar cualquier otra aplicación que se necesite de modo puntual (a sabiendas de que la perderemos cuando apaguemos la máquina).

Para gestionar los paquetes instalados Knoppix incluye la fabulosa herramienta apt-get, desarrollada por Debian. Es un programa excelente que se ocupa de todos los trapos sucios, como la gestión de las dependencias: aquellos otros paquetes que también necesitan ser instalados o actualizados para que lo que queremos instalar funcione.

apt-get basa su operación en una base local de los paquetes que ya tiene instalados y en una lista de todos los repositorios a los que debe dirigirse cada vez que necesite descargar software. Lo primero que debe conocer es qué hay susceptible de ser actualizado. Para ello, ejecutamos el comando

apt-get update

Hecho esto, el sistema ya sabe qué puede actualizar, así como de dónde debe descargarlo. El siguiente paso consiste en instalar los paquetes correspondientes al antivirus ClamAV: clamav y clamav-freshclam. Ejecutamos el siguiente comando:

apt-get install clamav clamav-freshclam

Observa que basta ejecutar un único comando, separando el nombre de cada paquete por un espacio en blanco.

Al actualizar clamav-freshclam se pone al día, a su vez, el fichero de firmas.

Mucha suerte en tu elimitación de virus. En mi caso, te diré que logré eliminar el rootkit (entreteniéndome, además, en limpiar el registro y reponer los ficheros críticos dañados), pero me entraron dudas sobre la estabilidad del entorno y decidí reinstalar nuevamente el sistema operativo.

Pero Windows ya no, sino Linux (Ubuntu). Eso sí que ha sido sanear el equipo de verdad…

Javier Montero Gabarró


Actualizando software de Knoppix – Nueva visita a ClamAV


El texto de este artículo se encuentra sometido a una licencia Creative Commons del tipo CC-BY-NC-ND (reconocimiento, no comercial, sin obra derivada, 3.0 unported)


El Club del Autodidacta

Detección y eliminación de virus con Knoppix

Knoppix es mi navaja suiza en versión software. Siempre suelo llevarlo conmigo por lo que pudiera suceder. En el espacio de un CD tengo a mi alcance un sistema Linux con centenares de herramientas de todo tipo listas para ser ejecutadas en cualquier ordenador sin necesidad de instalar nada en él.

Imagina que un día te llama un amigo con un problema gordo. Esto es algo inevitable para los que nos dedicamos a esto: los amigos se acuerdan de nosotros en estos casos. En fin, ¿para qué estamos si no?

Resulta que tu amigo tiene el ordenador infectado con un virus y no tiene manera de limpiarlo. Un virus activo en memoria puede engañar a un antivirus e incluso evitar que este funcione.

Después de recriminarle por su torpeza, cogemos Knoppix y nos dirigimos a su casa.

Knoppix incluye el antivirus ClamAV entre su conjunto de herramientas fabulosas. Antiguamente lo encontrábamos en la distribución en CD. En las últimas versiones sólo está disponible en el DVD.

En el momento de escribir este artículo la última versión de Knoppix es la 6.7.1.

Arrancamos el ordenador de nuestro amigo con el DVD de Knoppix dentro. El Windows que reside dentro del PC permanecerá dormido, sin arrancar, sin darse cuenta de lo que está sucediendo.

Esta es la gran ventaja de esto: el disco duro del ordenador está «frío». No arrancamos Windows, no hay programas ni procesos suyos cargados. El virus, por lo tanto, también duerme plácidamente dentro de uno o varios ficheros.

Es como visitar a los vampiros en sus tumbas durante el día…

Arrancamos Knoppix directamente en idioma español y en la línea de comandos. No necesitaremos la interfaz gráfica para nada.

Ya sabemos, por artículos anteriores, como hacer esto. En el prompt de Knoppix escribimos:

knoppix 2 lang=es

Una vez arrancado Knoppix lo primero que debemos hacer es montar el disco duro que queremos analizar. Recuerda que, por defecto, el punto de montaje ya está creado en /media con el nombre de las particiones que Knoppix detecta al arrancar.

Veamos qué particiones tenemos a nuestro alcance:

fdisk -l

En el caso del PC de nuestro amigo, este comando nos devuelve la partición /dev/sda1. Es la que debemos montar:

mount /dev/sda1 /media/sda1

Con esto, ya tenemos el disco infectado al alcance de Knoppix dentro de la carpeta especificada.

Quizás te entre una duda ahora: la versión de Knoppix que tenemos puede que tenga varios meses de antigüedad. ¿Qué pasa con los virus nuevos desde esa fecha? ¿No los va a detectar?

Tranquilo; antes de escanear el disco vamos a actualizar el fichero de firmas del antivirus a la más reciente.

Basta con lanzar el siguiente comando:

freshclam

Naturalmente, la máquina debe estar conectada a una red desde la que acceder a internet. Nuestro amigo tiene el PC conectado a un router del que recibe directamente, mediante DHCP, una dirección IP. No ha hecho falta configurar nada, Knoppix, en la mayoría de los casos, se encarga completamente de todo sin necesidad de nuestra intervención. Si debes configurar una IP fija o tienes que conectarte a una Wi-Fi, tendrás que entretenerte un poco para dejar la red en condiciones.

En unos segundos ClamAV estará actualizado con la base de datos de virus más reciente.

Si llevas tiempo ya trabajando con Knoppix, esto que voy a decir te resultará obvio. Si no es así, debes saber que esta base de datos está en unos ficheros que están completamente en memoria. Knoppix es un Live CD y, por lo tanto, no escribe nada en ningún disco del sistema (salvo que así se lo indiquemos, tal y como vamos a hacer ahora limpiando la máquina). Cuando abandones Knoppix, se acabó también esa actualización. Si vuelves a arrancar tendrás que actualizar nuevamente el fichero de firmas.

Y ahora, a cargarnos el virus.

Podemos hacerlo de dos modos: escaneamos el disco, leemos el informe con el resultado, y eliminamos, con el comando rm de Unix, uno a uno, cada fichero infectado por el virus. O también podemos introducir, en el comando, una opción para que los elimine directamente.

Recomiendo la primera vía. Es más prudente que revisemos previamente el informe y después tomemos la decisión de si eliminar el fichero o no. No siempre los antivirus aciertan.

El comando es el siguiente:

clamscan -ir /media/sda1 > resultado

El parámetro -i indica que sólo me muestre resultados de ficheros infectados y obvie los que están sanos. El parámetro -r se utiliza para que la búsqueda se realice en el interior de todos los directorios recursivamente.

Observa como hemos redirigido la salida a un fichero de texto que hemos llamado resultado, que es el que deberemos consultar después para conocer el resultado del escaneo. Lo encontrarás en el mismo directorio en el que lanzas el comando.

Si no quieres molestarte en tomar decisiones de si borrar o no, puedes dejar que lo haga directamente clam con el parámetro remove:

clamscan -ir --remove /media/sda1 > resultado

Sales de Knoppix, guardas de nuevo tu DVD mágico en el bolso y dejas que tu amigo siga disfrutando de su Windows.

¿Qué menos que te invite a unas cervezas después, no?

Javier Montero


Anotación del 3 de abril de 2012: si ha pasado un tiempo desde que descasgaste tu último Knoppix, puede que te encuentres que el motor del antivirus esté desactualizado. Léete este artículo para saber cómo proceder en ese caso.


Detección y eliminación de virus con Knoppix


El texto de este artículo se encuentra sometido a una licencia Creative Commons del tipo CC-BY-NC-ND (reconocimiento, no comercial, sin obra derivada, 3.0 unported)


El Club del Autodidacta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies