Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 3 de noviembre de 2007

IDENTIFICANDO PROCESOS MALICIOSOS EN SISTEMAS WINDOWS

Cuando una computadora ha sido comprometida por algún malware, es muy común notar que no responde de la misma manera que solía hacerlo cotidianamente, o nos encontramos con algún proceso que no conocemos y por ende nos parece sospechoso.

Para despejar de nuestra mente la duda que provoca este tipo de episodios, vamos a mostrarles que en los distintos sistemas operativos Windows existen diferentes herramientas que son nativas de cada sistema y que, a priori, nos pueden ayudar a comprobar si estamos en presencia de un archivo o proceso malicioso.

No es para nada divertido descubrir que procesos misteriosos o desconocidos se están ejecutando en nuestra computadora, sin embargo es necesario chequearlos cada tanto para verificar que los procesos que se están ejecutando no sean la causa del dolor de cabeza que genera el mal comportamiento de una computadora infectada.

En tal sentido, una de las primeras cosas que podemos verificar es justamente el comportamiento de los procesos activos, es decir, que consumo de memoria utiliza cada proceso que está corriendo en la PC.

Para ello basta con teclear al mismo tiempo las teclas Ctrl + Alt +Supr, se abre el TaskManager, es decir, el Administrador de Tareas, a través de él podremos obtener información que, en primera instancia, nos permitirá saber si en nuestra computadora se está ejecutando algún proceso malicioso.

Otra alternativa, pero bajo línea de comandos, es ejecutar el comando tasklist, este simple comando también nos mostrará información sobre los procesos activos (sólo para Windows XP).

Información sobre los procesos activosInformación sobre los procesos activos

En caso de utilizar el Administrador de Tareas, al detectar uno o varios procesos maliciosos lo primero que debemos hacer es “matarlos”. Para ello, simplemente seleccionamos el proceso y hacemos clic en el botón “Terminar proceso”.

Ahora bien, para obtener el mismo efecto pero bajo línea de comandos, luego de ejecutar tasklist y detectar el proceso desconocido, tendremos que ejecutar otro comando para poder terminarlo, en este caso el comando taskkill seguido de su PID (Identificador de proceso), la sintaxis es la siguienete:

C: \>taskkill /PID 2520

“Matando” procesos activos

“Matando” procesos activos

De esta manera habremos terminado el proceso y, por ende, lograremos eliminar el archivo que levantaba el proceso en cuestión (en este caso el notepad.exe).

Jorge

Publicado por Jorge Mieres

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)