-

Procesos legítimos de Windows, herramientas sysinternals.

Posted on

Procesos legitimos de Windows

Un tema sumamente complicado es identificar procesos maliciosos que pudieran estar en ejecución en nuestro sistema; y quizás su complejidad radica en un factor con el mismo nivel de importancia, que es conocer qué procesos son legítimos y válidos del sistema, y nativos de Windows.

Desde el administrador de tareas tenemos diferentes ventanas, en las que se muestra información muy importante acerca de nuestro ordenador y que poca gente consulta.

¿Por qué es importante conocer los procesos nativos del sistema operativo?

Es muy frecuente en los usuarios de plataformas Microsoft Windows, el consultar al Administrador de tareas, con el fin de identificar procesos desconocidos, que puedan estar siendo ejecutados en el sistema, y generando perjuicios al usuario: códigos maliciosos, aplicaciones instaladas innecesarias, etc.

En este contexto, son muchos los usuarios que identifican erróneamente procesos legítimos del sistema como inválidos, categorizándolos como maliciosos. Es habitual que los usuarios nos realicen consultas del tipo “tengo un virus, se ejecuta como svchost.exe”, confundiendo el archivo legítimo del sistema operativo con un malware.

Desde el administrador de tareas tenemos diferentes ventanas, en las que se muestra información muy importante acerca de nuestro ordenador y que poca gente consulta.

 screenshot_2

screenshot_1

En consecuencia, vamos a conocer algunos de ellos, sobre todo los más representativos que comúnmente podemos encontrar en nuestro equipo junto a una breve explicación de su función principal:

  • smss.exe: Acrónimo de Session Manager Subsystem, es el proceso encargado de manejar las sesiones de usuario en el sistema y se encuentra alojado en la carpeta system32 de Windows.
  • csrss.exe: Acrónimo de Client Server Runtime SubSystem, es utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32. Se encuentra alojado en la carpeta system32 de Windows.
  • winlogon.exe: Se refiere a Microsoft Windows Logon Process. Este proceso es utilizado por el sistema operativo durante la fase de autenticación y también se encuentra alojado en la carpeta system32 de Windows
  • services.exe: Acrónimo de Services Control Manager; es el encargado de iniciar y detener los servicios del sistema operativo. Al igual que los anteriores, este programa se aloja en la carpeta system32.svchost.exe: Acrónimo de Microsoft Service Host Process. Se encarga de ejecutar todos aquellos servicio que se ejecutan a través de Librerías de Enlaces Dinámicos (DLL, Dynamic Link Library). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar. Se aloja en la carpeta system32 de Windows.
  • alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.
  • lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32.
  • explorer.exe: Representa al Explorador de Windows. Es la interfaz gráfica de la shell de Windows que posibilita la visualización de la barra de tareas, el administrador de archivos, el menú inicio y el escritorio del sistema. Se encuentra en la carpeta WINDOWS.
  • ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.) . El mismo se encuentra alojado en la carpeta system32
  • dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.

 

¿Cómo hago para detectar un proceso malicioso con estos nombres?

En primer término es importante cambiar el enfoque. El objetivo es detectar códigos maliciosos, no reconocer procesos; independientemente que esta sea una práctica casera que utilizamos como usuarios para identificar acciones sospechosas. Por lo tanto, un antivirus con capacidades proactivas de detección será capaz de detectar cualquier código malicioso que se esté ejecutando en el sistema, independientemente del nombre de proceso utilizado. Además, en muchos casos los procesos creados por códigos maliciosos, pueden ser terminados desde el Administrador de tareas, mientras un proceso crítico del sistema no.

Sin embargo, códigos maliciosos con funcionalidades de rootkit pueden inyectar sus acciones dentro de un proceso legítimo del sistema, de forma de que el usuario tampoco pueda finalizar su ejecución desde el Administrador de tareas. Por lo tanto, cabe destacar que la búsqueda de procesos sospechosos es una técnica válida solo para obtener una aproximación a la detección de códigos maliciosos en el equipo, y no debe ser considerada una vía legítima para la detección de estos. Asimismo, el usuario debe saber que en todo sistema con Microsoft Windows, existirán estos procesos en ejecución de forma nativa en el sistema operativo, y no deben

cómo detectar virus con el administrador de tareas 2

En el sitio I am not a Geek puedes encontrar una enorme lista de procesos por nombre, y obtener una descripción de para que sirve cada uno y su origen. Así pues, en caso de que al abrir el administrador de tareas veas algo que te parece extraño o que no puedas relacionar con nada instalado en Windows de manera legitima, prueba buscar el nombre del proceso en este sitio y averiguar si es un huésped no invitado y con malas intenciones.

Ahora bien, difícilmente el administrador de tareas va a ayudarte a eliminar la amenaza, solo a detectarla, los procesos maliciosos, al terminarlos con esta herramienta, usualmente vuelven a iniciarse solos como por arte de magia (no es magia es lo que están programados para hacer), por lo que vas a necesitar buscar una herramienta que te ayude a eliminarlos. En Bitelia ya hemos recomendado varias veces Spybot Search & Destroy, por mencionar uno muy útil y eficaz. Sea como sea, saber este pequeño truco puede ayudarlos a solucionar un problema y salvarlos el cuello en más de una ocasión.

¿Qué es Sysinternals?

Windows Sysinternals es un repositorio o almacén en la red de más de 60 aplicaciones y herramientas gratis para usar en Windows.
El sitio web de Sysinternals (llamado originalmente ntinternals), fue creado en 1996 por Bryce Cogswell and Mark Russinovich para publicar y compartir herramientas, utilidades avanzadas e información en la red para Windows.
Microsoft lo adquirió en el 2006 y la integro en el sitio de TechNet, que ofrece información técnica sobre los productos de la compañía.
Las utilidades de Sysinternals ayudan a administrar, gestionar, diagnosticar y solucionar conflictos en Windows y las aplicaciones del sistema.
Este grupo de programas han sido creados para usuarios con conocimientos avanzados o desarrolladores.
No obstante la gran mayoría de las herramientas puede ser empleada por cualquier persona o aficionado.
En el resumen de los principales productos que compartimos en este artículo, ofrecemos enlaces a varias páginas de nuestro sitio con información detallada sobre cómo usar estas aplicaciones.

Las podemos descargar de la pagina oicial de microsoft: Microsoft

Las mas populares son las siguientes:

Process Explorer, administrador de tareas avanzado

Process Explorer es una versión avanzada del Administrador de tareas de Windows, pero con recursos adicionales.
Es una herramienta que nos permite saber que archivos, directorio o clave del Registro usa cualquier programa o aplicación al ejecutarse, las DLL cargadas y más.
Muestra quien es el propietario de cada proceso y toda la información sobre cada uno de ellos.

Panel de Process Explorer de Sysinternals, una versión avanzada del Administrador de tareas de Windows
Panel de Process Explorer de Sysinternals

Autoruns para conocer aplicaciones en el inicio de Windows

Autoruns es un administrador de aplicaciones en el inicio de Windows.
Es una poderosa y útil aplicación que muestra en una lista todos los procesos y programas que inician con el sistema y permite configurarlo a nuestro gusto.
Nos facilita descubrir las aplicaciones configuradas para iniciarse automáticamente con el sistema.
Muestra la lista de claves del Registro en Run, RunOnce y otras ubicaciones creadas para este propósito y la localización exacta de los ejecutables.
Permite ocultar las entradas creadas por aplicaciones firmadas por Microsoft, para poder enfocarnos en el software de terceros.
Cualquier entrada indeseada podemos deshabilitarla o eliminarla completamente.

Panel de Autoruns de Sysinternals, para conocer aplicaciones en el inicio de Windows.
Panel de Autoruns de Sysinternals

Process Monitor, administrar procesos

Process Monitor como su nombre indica, es una utilidad avanzada para monitorear todos los procesos en ejecución en Windows.
Muestra en tiempo real la actividad de procesos y sus hilos, archivos del sistema, el registro y DLL cargadas. Incluye una enorme variad de funcionalidades para obtener información.

BgInfo, fondo de escritorio con información técnica

BgInfo es una utilidad que crea un fondo de escritorio en Windows con varia información técnica del sistema y del equipo.
Toda la información que se muestra se puede personalizar totalmente, así como la fuente y los colores empleados.
Esta utilidad es muy empleada para los que usan varios equipos y necesitan tener información a mano sobre cada uno de ellos.
Descargar BgInfo (960 KB)

 

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: