Esta es una duda general que tengo, no significa que esté teniendo algún problema con virus o algo así, pero si me gustaría saber donde suelen ser los lugares que se ocultan con más frecuencia en el equipo, tengo entendido que si estan en la carpeta de win32 es un indicio de que si hay alguno colado, y es me paso hace ya un tiempo que en mi ignorancia usé el kms pico para activar office y bueno, tras ver que siempre me desactivaba el firewall lo eliminé usando el antivirus, pero después de unos buenos meses explorando por curiosidad las carpetas de mi computadora para entender mejor su funcionamiento, vi que habían quedado restos del virus, no representaron una amenaza, solo eliminé las carpetas y sin problema alguno y desde ahí nació un poco mi curiosidad al respecto, espero que esta duda no inflija ninguna norma dado que como tal no estoy presentando ningún problema y podría quitar el tiempo para responder la duda de algún miembro de la comunidad que si necesite ayuda y si lo hace, haganmelo saber para tenerlo en cuenta la siguiente vez
La mayoria de los virus trataran de ubicarse en system, system32 otro lugar no recuerdo bien… podria ser en temp o en la misma carpeta de instalación del programa que contenia el virus.
Como el ransomware, seria un tipo de .exe “portable” por decirlo asi ya que ya viene todo junto para ejecutarse de una vez y modificar el sistema para bloquearlo
KMS no es un virus. Es un activador de windows no permitido por la corporación. Ahora, si a KMS le integrás una instrucción o malware para que se ejecute durante la activación, tendrás lo que dices.
Con respecto a los puntos calientes…uf, hay muchos. Y depende del virus o malware que hayamos agarrado. Los hay residentes en la memoria ram, otros que se ocultan en las carpetas que dices, otros que usan la carpeta de usuario, y las carpetas de los navegadores en usuarios, otros ProgramData, en la carpeta winsxs, algunos la raíz de C, otros el sector MBR de los hdd, ahora han aparecido los que se cargan en el hasta hace meses incorruptible uefi; Es decir, se han visto trabajos muy distintos, explotando zonas muy distintas. Hasta incluso hay una aparición bastante moderna de los llamados, virus sin archivos.
Cierto lo que dice mi compañero @Aprenderas, KMSPico de por si no es un virus si no un activador que usa varias tecnicas para activar el sistema,si tu descargas el programa desde su web oficial, y tienes un antivirus en mi caso Kaspersky te lo detectara como WinTool Hack o parecido como a mi y tambien me pone not-a-virus que significa “No es un virus” :
Lo que encuentras por otros sitios que no sea el oficial y por YouTube la mayoría tiene troyanos o otros tipos de virus, por lo que esta en vos descargarlos o no.
Tengo entendido que hay unos que se hacen llamar como los programas del sistema para hacerse pasar por legítimos como Tiworker.exe o el ya conocido autorun, solo por mencionar algunos. En estos casos ¿Cómo se sabe cuando son falsos o son los legítimos?
El ejemplo se puede aplicar a cualquier activador. Ninguno necesitará hacer cambios maliciosos para activar algún programa. Ahora, si tu activador adobe que por lo visto reemplaza el vínculo amtiib.dll por otro archivo alterado, y a parte de activar si en sus líneas escondiera instrucciones que pudieran ser llamadas por otros programas, estaríamos ante un malware.
Estos que se hacen pasar por otros programas, o por programas legítimos son una estafa muy vieja. Si bien en la actualidad se los ve, ya no hay una cantidad desproporcionada como en los años dorados 2009, 10, 11. En general saltan a la vista muy rápido. Están muy mal organizados y visualmente son ordinarios, deficientes. Pero es fácil darse cuenta porque si los instalaste verás que para hacer algo de limpieza te piden que pagues. Para colmo los datos que presentan son ficticios (cantidades de GB para limpiar). Y cuando le pagues, la mayoría de ellos no hace nada. A ponerse muy feliz si te muestra un cartel ficticio de que limpió algo… Otra característica sería que no tienen desintalador, y eso confunde a la gente común. Para quitarlos de manera manual hay que cerrar algún servicio o una cadena de ellos, y eso es demasiado para la gente común.
Son los que actúan sin dejar rastro. Esta técnica les ayuda a sobrepasar una detección basada en un archivo y sus firmas, la cual es muy usada por programas anti-virus y anti-spyware. Es decir, el malware ingresa, actúa y borra sus huellas. Incluso a veces se ejecuta desde un pendrive, roba datos, y no queda registro de esta actividad.
Como bien dicen los compañeros, hay varios lugares comunes y en su gran mayoría se ejecuta desde los temporales de Windows %temp% - aunque luego dependido del tipo de malware, es onde este puede instalar o no el resto de sus componentes.
Antiguamente los reyes del ocultismo eran los Rootkits y luego sus primos hermanos los Bootkits que se ponían en el MBR antes del propio sistema operativo se cargara… Pero de estos ya se ven mucho menos y salvo algún APT (ataque dirigido) no hay muchos activos actualmente.
Otro ejemplo, son los Troyanos que se inyectan a sí mismos en algún proceso de Windows legítimo (explorer.exe, svchost.exe, etc) en donde se ejecutan ya con los permisos que ese proceso tiene y hacen que sea mas difícil para los AVs puedan detectar, bloquear y eliminar su código, que aun borrando sus otros archivos, el troyano se mantiene vivo dentro de un proceso.
El Ransomware por otro lado directamente no tiene ninguna intención en esconderse, pero si luego borrarse a si mismo una vez termina su trabajo de cifrar los archivos de la victima o moverse lateralmente buscando otro equipo conectado al red para encriptar también a este y así.
El Adware… este es como cualquier programa, que se instala y se mete en todos los rincones de la maquina… aunque bajo nuestro propio consentimiento… al menos al darle, siguiente, siguiente, aceptar.
Y por ultimo, ahora tenemos los Malware Fileless (o virus sin archivos) los cuales directamente ejecutan su código malicioso directamente en la memoria RAM de la victima, modifican el registro para lograr su persistencia y de esa manera permanecen oculto de la mayoría de los radares de los antivirus
Vaya, si que el malware ha evolucionado severamente D:
Me encanta referir la computadora como el cuerpo humano, por mucho que se tengan buenas defensas algún día enfermarás de algo, con la computadora me parece que es lo mismo, por mucha protección y precauciones que se tengan, algún virus puede encontrarse; entonces…¿Qué se puede hacer para no infectarse además de jamás volver a usar el internet? XD
Otra característica sería que no tienen desintalador, y eso confunde a la gente común. Para quitarlos de manera manual hay que cerrar algún servicio o una cadena de ellos, y eso es demasiado para la gente común.