← Teoría

Practica 13: Simulacion de Infeccion y Eliminacion de Malware

Modulo: MF0953_2 — Montaje de Equipos Microinformaticos
Unidad Formativa: UF0852 — Instalacion y Configuracion de Sistemas Operativos
Bloque: 3 — Diagnostico y Reparacion de Sistemas
Duracion estimada: 4 horas (1 sesion)
Modalidad: Trabajo individual
Herramientas: VirtualBox + VM con Windows, Administrador de tareas, Windows Defender
IMPORTANTE: En esta practica NO se utilizan virus ni malware real. Todos los sintomas son simulados de forma controlada mediante scripts inofensivos. Nunca descargues ni ejecutes malware real, ni siquiera en una maquina virtual. Las tecnicas que aprenderas aqui son para DETECCION y ELIMINACION, no para creacion de malware.

Objetivos de la practica

  • Detectar sintomas de infeccion por malware en un sistema operativo.
  • Analizar comportamiento sospechoso del sistema mediante herramientas de diagnostico.
  • Usar herramientas de diagnostico y limpieza para identificar amenazas.
  • Eliminar amenazas de forma segura y verificar la limpieza del sistema.
  • Comprender buenas practicas de prevencion frente a malware.

Requisitos previos

Antes de comenzar, verifica que cumples todos los requisitos marcando cada casilla:

MUY IMPORTANTE — Snapshot: Antes de empezar esta practica, es imprescindible que tengas un snapshot (instantanea) de tu maquina virtual en estado limpio. Durante la practica, el profesor habra introducido scripts que simulan una infeccion. El snapshot te permitira restaurar la VM a su estado original una vez terminada la practica, eliminando todos los cambios realizados. Sin un snapshot, tendrias que reinstalar Windows desde cero.

Contenido teorico — Tipos de malware

Clasificacion de malware

Tipo Que hace Sintoma tipico
Virus Se adjunta a archivos y se propaga Archivos corruptos, sistema inestable
Troyano Se disfraza de programa legitimo Procesos desconocidos, comportamiento extrano
Ransomware Cifra archivos y pide rescate Archivos inaccesibles, mensaje de rescate
Spyware Roba informacion del usuario Sistema lento, actividad de red sospechosa
Adware Muestra publicidad no deseada Ventanas emergentes, navegador redirigido
Cryptominer Usa tu CPU para minar criptomonedas CPU al 100%, sistema muy lento, ventiladores al maximo
Rootkit Se oculta en el sistema a nivel profundo Dificil de detectar, comportamiento erratico

Sintomas comunes de infeccion

Sintoma Posible causa
PC extremadamente lento Cryptominer, spyware, virus
CPU al 100% sin razon aparente Cryptominer, proceso malicioso
Procesos desconocidos en Administrador de tareas Troyano, malware activo
Ventanas emergentes (popups) Adware
Navegador redirige a paginas externas Browser hijacker
Archivos desaparecen o cambian de extension Ransomware
Antivirus deshabilitado Malware que se protege a si mismo
Conexiones de red sospechosas Spyware, troyano con conexion remota

PREPARACION DEL PROFESOR — Scripts de simulacion

Atencion: Esta seccion es solo visible en pantalla. Contiene los scripts que el profesor debe ejecutar ANTES de la clase para simular los sintomas de infeccion en la VM de los alumnos. Al imprimir o exportar a PDF, esta seccion se oculta automaticamente.

Script 1: Simulacion de cryptominer (CPU al 100%)

Crear un archivo minero_falso.bat y hacer 3-4 copias con nombres diferentes. Colocar en shell:startup para que se ejecuten al iniciar sesion.

Archivos a crear:

  • WindowsSystemHelper.bat
  • svchost_update.bat
  • ChromeHelper.bat

Contenido de cada archivo .bat:

@echo off title WindowsSystemHelper :loop set /a x=1+1 goto loop

(Cambiar el title en cada copia para que coincida con el nombre del archivo.)

Script 2: Simulacion de adware (ventanas emergentes)

Crear un archivo adware_sim.vbs y colocarlo en shell:startup:

Set WshShell = CreateObject("WScript.Shell") Do WScript.Sleep 30000 WshShell.Popup "Congratulations! You won a FREE iPhone! Click OK to claim!", 5, "Special Offer!!!" Loop

Script 3: Archivos sospechosos

Crear carpeta oculta en C:\ProgramData\SystemUpdate\ con los siguientes archivos sospechosos:

  • keylogger.dat — archivo vacio
  • passwords.log — archivo con texto falso (por ejemplo: "usuario1:pass123\nusuario2:admin456")
  • send_data.bat — archivo vacio

Esto simula archivos que un spyware dejaria en el sistema.

Script 4: Proceso con nombre sospechoso

Crear un archivo .bat con nombre sospechoso y colocarlo en shell:startup:

@echo off title totally_not_a_virus :loop ping localhost -n 10 >nul goto loop

Script 5 (opcional): Modificar pagina de inicio del navegador

Cambiar la pagina de inicio de Edge/Chrome a una URL sospechosa inexistente como:

http://free-prizes-now.fake
RECORDATORIO FINAL: Recuerda hacer un snapshot de la VM ANTES de aplicar estos scripts para que los alumnos puedan restaurar al final de la practica. Sin el snapshot, los alumnos tendrian que reinstalar Windows.

IMPORTANTE — Antes de empezar: Crear snapshot

OBLIGATORIO: Antes de comenzar a trabajar con la VM "infectada", debes asegurarte de tener un snapshot (instantanea) del estado actual de la maquina virtual. Esto te permitira restaurar la VM a su estado original al finalizar la practica.

Pasos para crear un snapshot en VirtualBox

  1. Abre Oracle VirtualBox y selecciona tu maquina virtual.
  2. Haz clic en el icono de menu (tres lineas) junto al nombre de la VM, o ve al menu Maquina.
  3. Selecciona "Instantaneas" (o "Snapshots").
  4. Haz clic en el boton "Tomar" (icono de camara).
  5. Pon un nombre descriptivo, por ejemplo: "Estado limpio - Antes de Practica 13".
  6. Haz clic en "Aceptar" y espera a que se complete.

Parte 1 — Estado inicial del sistema (15 min)

Antes de que el profesor aplique los sintomas de "infeccion", documenta el estado normal de tu maquina virtual. Estos datos serviran como referencia para comparar despues.

Datos del sistema en reposo (estado normal)

Dato Valor normal (antes de los sintomas)
Uso de CPU en reposo
Uso de RAM en reposo
Numero de procesos en ejecucion
Programas en inicio (msconfig > Inicio)
Espacio libre en disco
Estado de Windows Defender

Captura 1: Administrador de tareas en estado normal (antes de la infeccion)

📷

Pega una captura (Ctrl+V) o arrastra una imagen aqui

Administrador de tareas mostrando el uso normal de CPU, RAM y procesos

Preview

Parte 2 — Deteccion de sintomas (30 min)

Abre la maquina virtual "infectada" (preparada por el profesor) y observa detenidamente su comportamiento. Documenta todos los sintomas que detectes.

Sintomas detectados

Sintoma Presente? Descripcion detallada
El sistema esta lento
CPU al 100% o muy alto
Procesos desconocidos en ejecucion
Ventanas emergentes o popups
Archivos o carpetas sospechosas
Navegador redirigido o pagina de inicio cambiada
Antivirus deshabilitado o con alertas
Otros sintomas

Rendimiento actual (con la "infeccion")

Dato Valor actual
Uso de CPU
Uso de RAM
Numero de procesos
Proceso con mayor consumo de CPU (top 1)
Segundo proceso con mayor consumo (top 2)
Tercer proceso con mayor consumo (top 3)

Captura 2: Administrador de tareas mostrando el uso anormal de CPU

📷

Pega una captura (Ctrl+V) o arrastra una imagen aqui

Captura del Administrador de tareas con CPU al 100% o uso anormalmente alto

Preview

Captura 3: Procesos sospechosos identificados en el Administrador de tareas

📷

Pega una captura (Ctrl+V) o arrastra una imagen aqui

Captura mostrando los procesos sospechosos en la lista de procesos

Preview

Parte 3 — Investigacion de procesos sospechosos (30 min)

Para cada proceso sospechoso que hayas encontrado, investiga sus propiedades y completa la siguiente tabla:

Ficha de procesos sospechosos

Dato Proceso 1 Proceso 2 Proceso 3 Proceso 4
Nombre del proceso
PID (identificador)
Uso de CPU (%)
Uso de memoria (MB)
Ubicacion del archivo (click derecho > Abrir ubicacion)
Es un proceso legitimo de Windows?
Por que crees que es sospechoso?
Como distinguir procesos legitimos de sospechosos:
- Los procesos legitimos de Windows (como svchost.exe, explorer.exe, csrss.exe) se encuentran en C:\Windows\System32.
- Si un proceso tiene un nombre parecido pero no identico (por ejemplo, svchost_update en lugar de svchost.exe), es sospechoso.
- Si el archivo ejecutable se encuentra fuera de C:\Windows\System32 (por ejemplo, en la carpeta de inicio del usuario o en AppData), es sospechoso.
- Los procesos que consumen mucha CPU sin razon aparente y que no reconoces son sospechosos.
- Puedes hacer clic derecho en un proceso en el Administrador de tareas y seleccionar "Abrir ubicacion del archivo" para verificar donde se encuentra.

Captura 4: Propiedades o ubicacion de un proceso sospechoso

📷

Pega una captura (Ctrl+V) o arrastra una imagen aqui

Captura mostrando la ubicacion del archivo de un proceso sospechoso (click derecho > Abrir ubicacion)

Preview

Parte 4 — Escaneo con antivirus (30 min)

Procedimiento de escaneo

  1. Abre Windows Defender (Seguridad de Windows) desde el menu Inicio o la barra de tareas.
  2. Ve a "Proteccion contra virus y amenazas".
  3. Ejecuta primero un "Examen rapido" y espera a que termine.
  4. Si no encuentra nada o quieres un analisis mas profundo, ejecuta un "Examen completo" o "Examen sin conexion de Microsoft Defender".

Resultados del escaneo

Dato Resultado
Tipo de examen realizado
Duracion del examen
Amenazas detectadas (cantidad)
Nombres de las amenazas detectadas
Accion recomendada por el antivirus
Accion que aplicaste
Nota importante: Los scripts simulados pueden o no ser detectados por Windows Defender. Si el antivirus no detecta todas las amenazas simuladas, esto es normal y nos ensena una leccion fundamental: no se puede confiar unicamente en el antivirus. La investigacion manual y el conocimiento del tecnico son igualmente importantes para detectar y eliminar amenazas.

Captura 5: Resultado del escaneo de Windows Defender

📷

Pega una captura (Ctrl+V) o arrastra una imagen aqui

Captura de la pantalla de resultados del escaneo de Windows Defender

Preview

Parte 5 — Eliminacion manual (45 min)

Ahora debes eliminar manualmente todas las amenazas simuladas que el antivirus no haya detectado (o que no haya eliminado completamente). Sigue estos pasos con atencion:

Procedimiento de limpieza paso a paso

  1. En el Administrador de tareas, finaliza los procesos sospechosos (clic derecho > Finalizar tarea).
  2. Abre msconfig o ve a Configuracion > Aplicaciones > Inicio y deshabilita las entradas sospechosas.
  3. Navega a las ubicaciones de los archivos sospechosos y eliminalos.
  4. Comprueba la carpeta de inicio: pulsa Win+R, escribe shell:startup y presiona Enter. Elimina cualquier archivo sospechoso.
  5. Comprueba las tareas programadas: pulsa Win+R, escribe taskschd.msc y revisa si hay tareas desconocidas.
  6. Revisa la pagina de inicio del navegador y restaurala a su valor normal (about:blank o tu buscador habitual).
  7. Vacia la Papelera de reciclaje para eliminar definitivamente los archivos borrados.
  8. Reinicia el sistema y comprueba que los sintomas han desaparecido.

Acciones de limpieza realizadas

Accion Realizada? Detalle
Procesos finalizados en Administrador de tareas
Entradas de inicio deshabilitadas
Archivos sospechosos eliminados
Carpeta shell:startup limpiada
Tareas programadas revisadas
Pagina de inicio del navegador restaurada
Sistema reiniciado

Captura 6: Carpeta de inicio limpia o archivos eliminados

📷

Pega una captura (Ctrl+V) o arrastra una imagen aqui

Captura de la carpeta shell:startup limpia o del proceso de eliminacion de archivos sospechosos

Preview

Parte 6 — Verificacion post-limpieza (15 min)

Tras reiniciar el sistema, verifica que los sintomas han desaparecido y compara los valores actuales con los de la Parte 1.

Comparacion antes/despues

Dato Antes (Parte 1) Despues de limpiar
Uso de CPU en reposo
Uso de RAM en reposo
Numero de procesos
Programas en inicio
Sistema responde con normalidad?
Procesos sospechosos eliminados?
Ventanas emergentes eliminadas?

Captura 7: Administrador de tareas despues de la limpieza (estado normal)

📷

Pega una captura (Ctrl+V) o arrastra una imagen aqui

Captura del Administrador de tareas mostrando el sistema limpio y con valores normales

Preview

Parte 7 — Restauracion del snapshot (5 min)

Una vez completada la practica, restaura tu maquina virtual al estado original utilizando el snapshot que creaste al principio.

Pasos para restaurar el snapshot

  1. Apaga la maquina virtual completamente (no suspender, apagar).
  2. En VirtualBox, selecciona tu VM y ve a la seccion de "Instantaneas".
  3. Selecciona el snapshot que creaste al inicio ("Estado limpio - Antes de Practica 13" o el nombre que le pusiste).
  4. Haz clic en el boton "Restaurar".
  5. Confirma la restauracion. VirtualBox revertira la VM al estado exacto del snapshot.
  6. Inicia la VM y comprueba que esta en su estado original, sin los scripts de simulacion.

Parte 8 — Preguntas de reflexion (30 min)

Responde a las siguientes preguntas con tus propias palabras. Cada respuesta debe tener un minimo de 3 lineas.

1. Describe como detectaste que el sistema estaba "infectado". Que fue lo primero que te llamo la atencion?

2. De los procesos sospechosos que encontraste, como distinguiste los falsos de los legitimos de Windows? Que criterios usaste?

3. El antivirus detecto todas las amenazas simuladas? Si no, por que crees que algunas pasaron desapercibidas? Que nos ensena esto sobre confiar unicamente en el antivirus?

4. Enumera al menos 5 buenas practicas que un usuario deberia seguir para evitar infectarse con malware real (no vale decir solo "tener antivirus").

5. Un cliente te llama diciendo: "Mi ordenador va muy lento de repente y salen ventanas con publicidad". Describe paso a paso que harias como tecnico para diagnosticar y solucionar su problema.

6. Que diferencia hay entre "eliminar" una amenaza y "ponerla en cuarentena"? Cuando usarias cada opcion?

Entrega de la practica

Capturas de pantalla requeridas

Comprueba que tienes todas las capturas necesarias:

Captura Descripcion OK
Captura 1 Administrador de tareas en estado normal (antes de la infeccion)
Captura 2 Administrador de tareas mostrando uso anormal de CPU
Captura 3 Procesos sospechosos identificados
Captura 4 Propiedades o ubicacion de un proceso sospechoso
Captura 5 Resultado del escaneo de Windows Defender
Captura 6 Carpeta de inicio limpia o archivos eliminados
Captura 7 Administrador de tareas despues de la limpieza

Formato del mensaje en Discord

Nombre: [Tu nombre y apellidos]
Practica: Bloque 3, Practica 13 - Simulacion de Infeccion y Eliminacion de Malware
[Adjuntar documento PDF y capturas de pantalla]

Criterios de evaluacion

Criterio Puntuacion
Estado inicial documentado (Parte 1) 0.5 puntos
Deteccion de sintomas (Parte 2) 1.5 puntos
Investigacion de procesos (Parte 3) 2.0 puntos
Escaneo con antivirus (Parte 4) 1.0 punto
Eliminacion manual (Parte 5) 2.0 puntos
Verificacion post-limpieza (Parte 6) 1.0 punto
Preguntas de reflexion (Parte 8) 1.5 puntos
Capturas completas y claras (7 capturas) 0.5 puntos
Total 10 puntos

Penalizaciones

Motivo Penalizacion
Entrega fuera de plazo (sin justificacion) -2 puntos
Capturas insuficientes (menos de 4 de las 7 requeridas) -1 punto
Respuestas copiadas de Internet o de otro companero -3 puntos
Tablas de sintomas o limpieza incompletas (mas del 30% en blanco) -1.5 puntos
Respuestas de una sola linea en preguntas que piden minimo 3 lineas -0.5 puntos por pregunta
Fecha limite: Indicada por el profesor en el canal de Discord.

Lista de verificacion de entrega (firma del alumno)

Antes de subir tu practica, confirma que has incluido todo:

Dato Tu respuesta
Nombre del alumno
Firma
Fecha de entrega

Entrega esta practica en el canal #entrega-practicas del Discord del curso.

Formato del mensaje: Nombre: [tu nombre] | Practica: Bloque 3, Practica 13 - Simulacion de Infeccion y Eliminacion de Malware

Practica correspondiente al Bloque 3 - Diagnostico y Reparacion de Sistemas (Practica 13)