martes, 20 de octubre de 2009

UNA ALTERNATIVA AL ADMINISTRADOR DE TAREAS QUE DETECTA MALWARE

PARA MANIÁTICOS DE LA SEGURIDAD CON UN POCO DE EXPERIENCIA Y TIEMPO QUE PERDER.

"Security Task Manager" (aquí) es un software muy parecido al Administrador de Tareas de Windows. Nos informa de los procesos activos del Pc (procesos del sistema y aplicaciones). La diferencia esta en la cantidad de herramientas e información disponible: detecta malware (ver siguiente punto del post), nos dice cuanta memoria utiliza cada proceso, permite ponerlos en cuarentena si tenemos dudas de su origen, nos informa de su grado de peligrosidad, su localización, el fabricante, el tipo de proceso, comentarios de otros usuarios sobre ellos, etc. Muy completito. Debe ser iniciado como administrador. Nota: "Security Task Manager" se descarga en versión de prueba (ves al final del blog y preguntale a Serials.ws por este programa, o compralo si realmente crees que vale la pena).



También puede detectar amenazas ocultas en el arranque de nuestro Pc. Como gusanos que utilizan el proceso Svchost.exe de Windows para engañar al antivirus. Desde "Security Task Manager", siempre que lo inicies como administrador, puedes parar o poner en cuarentena estas amenazas, no eliminarlas. Para limpiar el Pc de estos bichos, normalmente se utiliza la combianción de antivirus y programas antimalware, como el Spybot y el Malwarebytes que se pueden descargar desde el blog. Otra opción es utilizar el icono de búsqueda de Security Task Manager (el simbolo del explorador de internet en la barra de herramientas, imagen superior) y seguir los 3 pasos que nos aparecen en un recuadro rosa sobre los comentarios de los usuarios (ver imagen inferior).





En resumen, creo que es una buena herramientas para el diagnóstico de Pc's ya infectados por gusanos que no pueden ser detectados por el antivirus. Pero al final deberás utilizar para la limpieza los programas Antimalware que tú elijas o los que te propone el propio programa. No recomendable para los muy novatos. Cuidado con la herramienta de registro (2) ya que puedes hacer algún desastre.



- A partir de aquí hago un poco de explicación sobre las artimañas que usan este tipo de gusanos, si no te interesa el tema no lo leas.

Algunos gusanos se esconde detrás de procesos que pueden parecer inofensivos. El Pc va bastante lento y no sabemos por donde empezar la limpieza. El malware más débil es fácil de detectar y eliminar. Pero algunos gusanos pueden aprovechar el proceso Svchost.exe y "camuflarse" evitando al antivirus. He resumido lo máximo posible una explicación de como funciona todo esto:

"Al iniciar Windows, el poco conocido proceso Svchost.exe examina el Registro para elaborar una lista de los servicios que hay que cargar (los famosos DLL o servicios desde bibliotecas de vínculos dinámicos). Es posible que el sistema ejecute varias veces Svchost.exe al mismo tiempo. Esto lo podéis ver al pulsar Ctrl+Alt+Supr en el administrador de tareas. Cada una de las sesiones de Svchost.exe puede contener un grupo de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe. El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32. Algunos gusanos se aprovechan de este proceso para camuflarse entre otros servicios y no ser detectados por el antivirus con una simple exploración de procesos. Por ejemplo, Conficker utiliza esta treta".

¿Estas infectado por Conficker?, puedes saberlo desde aquí.

No hay comentarios: