Desinfectar a Windows desde Linux de Virus


     En principio, (y en teoría), esto lo podrías hacer desde tu LiveCD, ya que cuando es instalado el programa lo hará en una unidad Virtual de la RAM. Esto son los pasos...      Desinfectar un sistema Windows contagiado por algún virus o malware es bien fácil gracias al Antivirus ClamAV, poderoso y versátil anti-virus libre para Linux y otros sabores de Unix.
     1. Instalar ClamAV, ya sea con yum o apt-get o aptitude (dependiendo de la distro que tengas instalada). 
    • sudo apt-get install clamav 
    • yum install clamav
    • aptitude install clamav
     2. Ya instalado clamav, es necesario realizar la actualización de la lista de definición de Virus:
    • freshclam
     3. Si no se tiene montada la partición y tampoco conocimiento de como localizarla, se debe utilizar el siguiente comando:
    • fdisk -l
     Desplegara una lista parecida a la siguiente donde se mostrarán las particiones:
        Disk /dev/sda: 160.0 GB, 160000000000 bytes
        255 heads, 63 sectors/track, 19452 cylinders
        Units = cylinders of 16065 * 512 = 8225280 bytes
        Disk identifier: 0×41ab2316
        Device Boot Start End Blocks Id System
        /dev/sda1 1 5 40131 de Dell Utility
        /dev/sda2 * 6 19046 152946832+ 7 HPFS/NTFS
        /dev/sda3 19047 19452 3261195 db CP/M / CTOS / …
     4. En este ejemplo es fácil detectar la partición Windows ya que se trata de la partición NTFS. Antes de poder escanearla y remover los virus/malware que la atormentan, es preciso montarla.
        4.1. Crear un Directorio en el que va a ser montada la partición:
    • mkdir /media/windows
       4.2. Montar dicha partición (en éste ejemplo, /dev/sda2) con el comando:
    • mount /dev/sda2 /media/windows
     5. Ahora ejecutar el escaneo de la siguiente forma (esto tomará un tiempo, dependiendo de la capacidad de Disco Duro rígido y el espacio ocupado).
    • mkdir /tmp/virus
    • clamscan -v -r –bell –move /tmp/virus –log /tmp/virus.log /media/windows
     Las instrucciones de clamav arriba mencionandas son para lo siguiente:
    • -v: verbose – Imprime los detalles del escaneo
    • -r: recursive – Revisa todos los archivos y directorios
    • --bell: bell – Hace un ruido cuando un virus es detectado
    • --move: Mueve los virus al directorio /tmp/virus/ Para borrarlos directamente usá el parámetro --remove=yes
    • --log: Guarda un log de todos los archivos en /tmp/virus.log
    • /media/windows: Este es el directorio a escanear donde tendremos nuestra particion de windows montada
    • No se incluye en el ejemplo, pero usando el parámetro --exclude se puede excluir determinado tipo de archivos. Ejemplo: --exclude=.avi
     6. Por último, borrar el Directorio donde se movieron los archivos infectados. Pero, antes de hacer eso, es recomendable verificar qué archivos fueron detectados como infectados:
    •  cd /tmp/virus
    • ls
     En caso de que te parezca bien borrarlos.
    • rm -rf /tmp/virus
     Nota: también se puede instalar clamtk, una interfaz gráfica para clamav, pero que no permite utilizar algunas de las funcionalidades descritas en este artículo. Por esa razón, es recomendable utilizar clamav directo desde el terminal.
     Si no se tiene instalada alguna Distro Linux y querés desinfectar tu Win siguiendo este pequeño How-To, descargar un LiveCD y ejecutar los pasos arriba mencionandos; también se puede hacer usando un Live USB. Claro, lo mejor sería que deshacerse definitivamente de Windows y adoptar finalmente la filosofía Linux. Olvidate de los virus y enterate por qué Linux es más seguro que Windows.  

Comentarios

Publicar un comentario

Entradas populares de este blog

Proxy Transparente con SMP en Squid 3.3.3

Mucha gente confunde el término Proxy con el de Gateway (o “puerta de enlace predeterminada”, según la traducción de cierta empresa). En una red privada 192.168.0.0 Clase C (Máscara 255.255.255.0 o '/24'), se necesita un gateway si se desea llegar a otras redes, como Internet. Dicho Gateway poseerá la cantidad de interfaces necesarias y rutas establecidas y políticas de acceso que permitirán o no el acceso a ciertos destinos desde esta red interna. Por supuesto, en este caso se hablará de acceso “transparente” (por así decirlo) a la red destino en cuestión. Esto significa que el Gateway no tiene en cuenta el protocolo de aplicación (HTTP, FTP, etc.) o mejor dicho que “no los entiende ni tiene en cuenta excepto por puerto de origen o destino”. Por ejemplo, se puede asumir que en el puerto 80 de cierta IP de destino habrá un servicio que entienda HTTP... pero el Gateway no puede asegurarlo.
Leer más

Monitorizar Carpetas o Ficheros con Zabbix Server

Días atrás tenía una tarea de monitorizar con Zabbix ficheros y carpetas. CASO 1: Ficheros que entran automáticamente carpeta en Servidor Windows, se debe generar una alerta si entra 1 fichero en el rango de 15 minutos y generar una alerta cada vez que llegue un fichero, puede entrar un solo fichero a la vez y la cantidad de ficheros existentes es fija; luego que se procesa el nuevo fichero es eliminado el mismo. CASO 2: Monitorizar que se estén generando cada 24 horas carpetas de backup de Base de Datos. De no encontrarse un backup con fecha de las últimas 24 horas se genera una alerta.
Leer más

Monitoreo de Ficheros de Log desde Zabbix

El siguiente Template en Zabbix ha sido creado por la necesidad de monitorear un Log y generar un disparador (Trigger) en el momento que encuentre un string y con ella accionar un mail de alerta a los administradores. Con la opción de Zabbix logrt se logra monitorear distintos fichero que son rotados automáticamente por el SO, con el siguiente Template no es necesario cambiar cada mes o cada año la sintaxis por el que está en curso ya que son leídos todos los ficheros de Log con el parámetro que le coloquemos. Este es un ejemplo real para monitorear un Log en GNU/Linux Debian:
Leer más