Un tema sumamente complicado es identificar procesos maliciosos que pudieran estar en ejecución en nuestro sistema; y quizás su complejidad radica en un factor con el mismo nivel de importancia, que es conocer qué procesos son legítimos y válidos del sistema, y nativos de Windows.
Desde el administrador de tareas tenemos diferentes ventanas, en las que se muestra información muy importante acerca de nuestro ordenador y que poca gente consulta.
¿Por qué es importante conocer los procesos nativos del sistema operativo?
Es muy frecuente en los usuarios de plataformas Microsoft Windows, el consultar al Administrador de tareas, con el fin de identificar procesos desconocidos, que puedan estar siendo ejecutados en el sistema, y generando perjuicios al usuario: códigos maliciosos, aplicaciones instaladas innecesarias, etc.
En este contexto, son muchos los usuarios que identifican erróneamente procesos legítimos del sistema como inválidos, categorizándolos como maliciosos. Es habitual que los usuarios nos realicen consultas del tipo “tengo un virus, se ejecuta como svchost.exe”, confundiendo el archivo legítimo del sistema operativo con un malware.
Desde el administrador de tareas tenemos diferentes ventanas, en las que se muestra información muy importante acerca de nuestro ordenador y que poca gente consulta.
En consecuencia, vamos a conocer algunos de ellos, sobre todo los más representativos que comúnmente podemos encontrar en nuestro equipo junto a una breve explicación de su función principal:
smss.exe: Acrónimo de Session Manager Subsystem, es el proceso encargado de manejar las sesiones de usuario en el sistema y se encuentra alojado en la carpeta system32 de Windows.
csrss.exe: Acrónimo de Client Server Runtime SubSystem, es utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32. Se encuentra alojado en la carpeta system32 de Windows.
winlogon.exe: Se refiere a Microsoft Windows Logon Process. Este proceso es utilizado por el sistema operativo durante la fase de autenticación y también se encuentra alojado en la carpeta system32 de Windows
services.exe: Acrónimo de Services Control Manager; es el encargado de iniciar y detener los servicios del sistema operativo. Al igual que los anteriores, este programa se aloja en la carpeta system32.svchost.exe: Acrónimo de Microsoft Service Host Process. Se encarga de ejecutar todos aquellos servicio que se ejecutan a través de Librerías de Enlaces Dinámicos (DLL, Dynamic Link Library). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar. Se aloja en la carpeta system32 de Windows.
alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.
lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32.
explorer.exe: Representa al Explorador de Windows. Es la interfaz gráfica de la shell de Windows que posibilita la visualización de la barra de tareas, el administrador de archivos, el menú inicio y el escritorio del sistema. Se encuentra en la carpeta WINDOWS.
ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.) . El mismo se encuentra alojado en la carpeta system32
dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.
¿Cómo hago para detectar un proceso malicioso con estos nombres?
En primer término es importante cambiar el enfoque. El objetivo es detectar códigos maliciosos, no reconocer procesos; independientemente que esta sea una práctica casera que utilizamos como usuarios para identificar acciones sospechosas. Por lo tanto, un antivirus con capacidades proactivas de detección será capaz de detectar cualquier código malicioso que se esté ejecutando en el sistema, independientemente del nombre de proceso utilizado. Además, en muchos casos los procesos creados por códigos maliciosos, pueden ser terminados desde el Administrador de tareas, mientras un proceso crítico del sistema no.
Sin embargo, códigos maliciosos con funcionalidades de rootkit pueden inyectar sus acciones dentro de un proceso legítimo del sistema, de forma de que el usuario tampoco pueda finalizar su ejecución desde el Administrador de tareas. Por lo tanto, cabe destacar que la búsqueda de procesos sospechosos es una técnica válida solo para obtener una aproximación a la detección de códigos maliciosos en el equipo, y no debe ser considerada una vía legítima para la detección de estos. Asimismo, el usuario debe saber que en todo sistema con Microsoft Windows, existirán estos procesos en ejecución de forma nativa en el sistema operativo, y no deben
En el sitio I am not a Geek puedes encontrar una enorme lista de procesos por nombre, y obtener una descripción de para que sirve cada uno y su origen. Así pues, en caso de que al abrir el administrador de tareas veas algo que te parece extraño o que no puedas relacionar con nada instalado en Windows de manera legitima, prueba buscar el nombre del proceso en este sitio y averiguar si es un huésped no invitado y con malas intenciones.
Ahora bien, difícilmente el administrador de tareas va a ayudarte a eliminar la amenaza, solo a detectarla, los procesos maliciosos, al terminarlos con esta herramienta, usualmente vuelven a iniciarse solos como por arte de magia (no es magia es lo que están programados para hacer), por lo que vas a necesitar buscar una herramienta que te ayude a eliminarlos. En Bitelia ya hemos recomendado varias veces Spybot Search & Destroy, por mencionar uno muy útil y eficaz. Sea como sea, saber este pequeño truco puede ayudarlos a solucionar un problema y salvarlos el cuello en más de una ocasión.
¿Qué es Sysinternals?
Windows Sysinternals es un repositorio o almacén en la red de más de 60 aplicaciones y herramientas gratis para usar en Windows.
El sitio web de Sysinternals (llamado originalmente ntinternals), fue creado en 1996 por Bryce Cogswell and Mark Russinovich para publicar y compartir herramientas, utilidades avanzadas e información en la red para Windows.
Microsoft lo adquirió en el 2006 y la integro en el sitio de TechNet, que ofrece información técnica sobre los productos de la compañía.
Las utilidades de Sysinternals ayudan a administrar, gestionar, diagnosticar y solucionar conflictos en Windows y las aplicaciones del sistema.
Este grupo de programas han sido creados para usuarios con conocimientos avanzados o desarrolladores.
No obstante la gran mayoría de las herramientas puede ser empleada por cualquier persona o aficionado.
En el resumen de los principales productos que compartimos en este artículo, ofrecemos enlaces a varias páginas de nuestro sitio con información detallada sobre cómo usar estas aplicaciones.
Las podemos descargar de la pagina oicial de microsoft: Microsoft
Las mas populares son las siguientes:
Process Explorer, administrador de tareas avanzado
Process Explorer es una versión avanzada del Administrador de tareas de Windows, pero con recursos adicionales.
Es una herramienta que nos permite saber que archivos, directorio o clave del Registro usa cualquier programa o aplicación al ejecutarse, las DLL cargadas y más.
Muestra quien es el propietario de cada proceso y toda la información sobre cada uno de ellos.
Panel de Process Explorer de Sysinternals, una versión avanzada del Administrador de tareas de Windows
Autoruns para conocer aplicaciones en el inicio de Windows
Autoruns es un administrador de aplicaciones en el inicio de Windows.
Es una poderosa y útil aplicación que muestra en una lista todos los procesos y programas que inician con el sistema y permite configurarlo a nuestro gusto.
Nos facilita descubrir las aplicaciones configuradas para iniciarse automáticamente con el sistema.
Muestra la lista de claves del Registro en Run, RunOnce y otras ubicaciones creadas para este propósito y la localización exacta de los ejecutables.
Permite ocultar las entradas creadas por aplicaciones firmadas por Microsoft, para poder enfocarnos en el software de terceros.
Cualquier entrada indeseada podemos deshabilitarla o eliminarla completamente.
Panel de Autoruns de Sysinternals, para conocer aplicaciones en el inicio de Windows.
Process Monitor, administrar procesos
Process Monitor como su nombre indica, es una utilidad avanzada para monitorear todos los procesos en ejecución en Windows.
Muestra en tiempo real la actividad de procesos y sus hilos, archivos del sistema, el registro y DLL cargadas. Incluye una enorme variad de funcionalidades para obtener información.
BgInfo, fondo de escritorio con información técnica
BgInfo es una utilidad que crea un fondo de escritorio en Windows con varia información técnica del sistema y del equipo.
Toda la información que se muestra se puede personalizar totalmente, así como la fuente y los colores empleados.
Esta utilidad es muy empleada para los que usan varios equipos y necesitan tener información a mano sobre cada uno de ellos. Descargar BgInfo (960 KB)
REFOGFreeKeylogger es una herramienta que nos permitirá observar todo lo que ocurren en un ordenador, incluyendo cualquier cosa que se teclee o copie en el portapapeles.
Una vez instalada, la aplicación será prácticamente indetectable para cualquiera que no sea la persona que lo instaló, ya que para acceder a la ventana del programa necesitaremos realizar una combinación de teclas. De esta forma, aunque el ‘espiado’ sepa bastante de informática, lo tendrá imposible para detectar el programa.
Una de las posibilidades más interesantes de REFOGFreeKeylogger es la de ‘marcar’ palabras para que nos avise automáticamente cuando estas se escriban. De esta manera, sabremos al instante si alguien intenta, por ejemplo, buscar películas o música ilegal por Internet.
REFOGFreeKeylogger es una herramienta orientada principalmente a padres que quieran tener controlados a sus hijos, y empresarios que quieran maximizar el rendimiento de sus empleados.
AES Crypt es una solución de cifrado de código abierto multiplataforma para aquellos que están buscando una alternativa a TrueCrypt (esta es la herramienta que usábamos antes y que hemos descartado por problemas de seguridad y continuidad).
Características
Algoritmo de cifrado de 256 bits
Se integra con Gnome y KDE como una extensión del navegador de archivos
Disponible desde el símbolo del sistema (consola)
Ligero y fácil de instalar
Soporta Linux, Windows, Mac y Android
APIs disponibles para integrar en una solución personalizada (C, C ++, Java, C # y PHP)
El código fuente abierto y disponible para la auditoría
Instalación
Para instalar AES Crypt en Ubuntu, descarga el programa completo desde aquí. Extrae y ejecuta el instalador con sudo. Se lanzará el instalador gráfico.
Uso
AES Crypt se integra con el administrador de archivos, y puede utilizarse mediante las opciones del navegador y los menús contextuales. Utiliza la opción Abrir con … y escribe aescrypt-gui. Y por supuesto, también puedes usar las utilidades de la línea de comandos.AES Crypt sólo puede manejar un solo archivo a la vez. Si deseas cifrar un directorio con todo su contenido tendrás que archivarlo (comprimirlo en un solo archivo) antes de cifrar. Más adelante se expone un ejemplo. Ten en cuenta que AES Crypt sobrescribe cualquier archivo con el mismo nombre que el archivo cifrado en el directorio (añade su etiqueta .aes).bbf
Cifrar un archivo:
$ Aescrypt -e mysecrets.txt
// Dar dos veces la contraseña
$ ls aescrypt.txt *
mysecrets.txt.aes mysecrets.txt
Descifrar el archivo:
$ Aescrypt -d mysecrets.txt.aes
Copia de seguridad de un directorio utilizando tubería:
$ tar -cvf - / home | aescrypt -e -p micontraseña -> backup_files.tar.aes
Ver un archivo de texto plano sin descifrar:
$ aescrypt -d -o - mysecrets.txt.aes
Generar un archivo de clave con una contraseña:
$ Aescrypt_keygen -p micontraseña secret.key
Utilizar el archivo de claves mediante la opción -k:
$ Tar -cvf - / home | aescrypt -e -k secret.key -> backup_files.tar.aes
Seguridad informatica 