Identificar procesos maliciosos es algo realmente fácil si se conocen los procesos legítimos y validos que utiliza el sistema y que son nativos de Windows.

Para poder ver los procesos tenemos que mostrar el Aministrador de tareas –> CTRL + SHIFT + ESC o CTRL + ALT + SUPR

Vamos a mostrar algunos de ellos, sobre todo los más representativos que podemos encontrar en nuestro equipo junto a una breve explicación de su función principal:

* ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.). El mismo se encuentra alojado en la carpeta system32.

* dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.

* csrss.exe: Acrónimo de Client Server Runtime SubSystem, es utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32. Se encuentra alojado en la carpeta system32 de Windows. Este administra la consola de Windows, crea y destruye threads y administra algunas porciones del entorno 16 bits virtual DOS.

* winlogon.exe: Se refiere a Microsoft Windows Logon Process. Este proceso es utilizado por el sistema operativo durante la fase de autenticación y también se encuentra alojado en la carpeta system32 de Windows. Es el proceso que gestiona el inicio y cierre de sesión. Winlongon únicamente se activa cuando el usuario presiona las teclas CTRL+ALT+SUPR, entonces muestra la ventana de seguridad.

* alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.

* Explorer.exe: Proporciona el entorno de escritorio y la barra de tareas, etc. Este proceso no es vital para el sistema (podemos detenerlo para luego volver a ejecutarlo a través del administrador de tareas- abrir luego escribir explorer.exe), pero si lo detenemos, sólo tendremos el escritorio

* lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32. Genera los procesos responsables de la autentificación de usuarios para el proceso Winlogon. Si la autentificación tiene éxito, lsass.exe genera los tokens de acceso para el usuario que son utilizados para lanzar el shell inicial. Los otros procesos que el usuario inicia heredan estos tokens 

* Mstask.exe: Es el servicio que se encarga de planificar las tareas, es responsable de la ejecución de tareas a un instante preciso programadas por nosotros.

* smss.exe: Acrónimo de Session Manager Subsystem, es el proceso encargado de manejar las sesiones de usuario en el sistema y se encuentra alojado en la carpeta system32 de Windows. Se encarga de la gestión de las sesiones de usuario. Este proceso es responsable de diferentes actividades entre ellas la ejecución de los procesos Winlogon y Win32 (csrss.exe) y de la creación de variables de entorno del sistema. Después de ejecutar estos procesos, éste espera que Winlogon o Csrss finalicen. Si esto se produce normalmente, entonces el sistema se detiene. 

* Spoolsv.exe: Es el proceso responsable de la gestión de los trabajos de impresión y fax…

* svchost.exe: Acrónimo de Microsoft Service Host Process. Se encarga de ejecutar todos aquellos servicio que se ejecutan a través de Librerías de Enlaces Dinámicos (DLL, Dynamic Link Library). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar. Se aloja en la carpeta system32 de Windows.

* services.exe: Acrónimo de Services Control Manager; es el encargado de iniciar y detener los servicios del sistema operativo. Al igual que los anteriores, este programa se aloja en la carpeta system32

* System: La mayoría de threads del modo núcleo funcionan como proceso System.

* System Idle Process: Este proceso es un único threads que corre en cada procesador cuando el procesador no tiene nada que hacer.

* Winmgmt.exe: Componente del núcleo del Administrador de cliente bajo Windows 2000. Este proceso arranca cuando la primera aplicación cliente se conecta. Este corresponde al servicio WMI que permite por ejemplo programar recursos en el equipo (memoria, disco duro, etc.)

Estos procesos generalmente corren utilizando sólo una pequeña parte del CPU. Si observas que alguno de ellos utiliza una gran parte de éste, entonces pasa un antivirus o un anti-adware.

Es muy importante conocer cuales son los procesos nativos de nuestro sistema operativo y cuáles no lo son, ya que de esta manera podemos detectar de manera temprana posibles programas que esten en ejecución, que tengan o sean de código malicioso y que por alguna razón hayan escapado a la solución de seguridad de nuestro antivirus.

Los programas de malware emplean estrategias de Ingeniería Social aplicada sobre los archivos utilizando nombres similares a los que poseen los procesos legítimos del sistema, como por ejemplo “msss.exe“, “winlogOn.exe“, “scvhost.exe” o “lssas.exe“, precisamente para intentar pasar desapercibidos ante la vista de los usuarios.

Los procesos debemos chequearlos para tratar de identificar procesos maliciosos con nombres similares y también deberemos de identificar cuáles son los proceso legítimos del sistema, pero esto no nos exime de dejar de tener una herramienta como un antivirus (en principio da igual cual tengamos instalalo mientras haya uno en nuestro sistema) sino que complementa el nivel de prevención a través del conocimiento.

Un antivirus es una herramienta que nos ayuda a detectar cualquier código malicioso que se esté ejecutando en el sistema, independientemente del nombre de proceso utilizado.
Además, en muchos casos los procesos creados por códigos maliciosos, pueden ser terminados desde el Administrador de tareas, mientras un proceso crítico del sistema no:

La búsqueda de procesos sospechosos es una técnica válida solo para obtener una aproximación a la detección de códigos maliciosos en el equipo, y no debe ser considerada una vía legítima para la detección de estos. Asimismo, el usuario debe saber que en todo sistema con Microsoft Windows, existirán estos procesos en ejecución de forma nativa en el sistema operativo, y no deben alertarse por el solo hecho de observarlos.

Páginas para poder encontrar información sobre los procesos que tenemos en ejecución:

http://www.file.net/process/index.html

http://www.elarchivo.es/

Anuncios