Lección 7. Analizar el sistema operativo en busca de procesos maliciosos.
Cuando de repente nuestro ordenador va lento de un día para otro este puede ser un signo de que tenemos un Malware en nuestro dispositivo y que nuestro Antivirus no lo ha detectado, tener en cuenta que al 100% nunca se puede estar seguro ya que los Ciberdelincuentes trabajan para que sus ataques sean indetectables por los Antivirus, entonces ¿Qué hacemos si de repente nuestro ordenador se ha ralentizado y queremos saber si es por un Malware? , lógicamente el primer paso es pasarle el antivirus y si este no detecta nada podemos hacer una segunda comprobación para analizar el sistema operativo en busca de procesos maliciosos.
¿Cómo podemos hacer este segundo análisis?, os voy a mostrar una aplicación gratuita que analiza completamente todos los procesos que se están ejecutando en nuestro equipo en busca de procesos maliciosos, esta herramienta se llama Process Explorer y es de Microsoft , Process Explorer es una herramienta capaz de monitorear procesos y servicios en Windows y apenas consume recursos. Es muy útil al momento de llevar a cabo un análisis dinámico de malware, ya que permite, por ejemplo, ver qué procesos se iniciarán al llevarse a cabo una infección. Process Explorer funciona desde Windows XP hasta la versión actual de Windows 10.
Process Explorer nos muestra detalles de los procesos que se están ejecutando, el consumo de recursos que utiliza cada proceso, la carga de la tarjeta grafica, realiza análisis de rendimiento, muestra recursos del sistema, encuentra procesos a través de la búsqueda, analiza las ventanas abiertas para cada aplicación, y la función que nos ha llevado a ver esta lección que es la opción de analizar los procesos en busca de Malware con el conocido escáner basado en la web de VirusTotal , pagina web que analizamos en el Lección 4 de este curso.
Process Explorer envía solo valores hash de los archivos ejecutables de los procesos en ejecución. Idealmente, si un archivo con este valor de hash ya se ha probado, VirusTotal enviará inmediatamente los resultados de la prueba que aparecen en una nueva columna llamada “VirusTotal” en Process Explorer. Es decir que si el Malware es reconocido nos proporcionara información para eliminarlo porque tendrá en su base de datos el reporte de otros usuarios que ya lo han tenido.
Aquí os dejo el enlace para descargarlo https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer y ahora vamos a ver como funciona y como nos puede ayudar a detectar amenazas.
Lo primero que debemos de hacer es descargar la aplicación para ello una vez que le hemos dado al enlace pinchamos sobre el enlace para descargarlo, una vez que se ha descargado lo hace en formato comprimido que hay que descomprimir yo lo he echo con WinRar, una vez descomprimido ejecutamos el archivo procexp64 para la abrir la aplicación , le damos a “Agree” y ya tenemos la aplicación en nuestro escritorio, como podréis observar nos muestra mucha información sobre los procesos abiertos que están en ese momento ejecutándose en el ordenador, además si pulsáis con el botón derecho del ratón sobre un proceso concreto podéis pararlo, reiniciarlo, etc. y ahora si os dais cuenta de un detalle importante no aparece ninguna opción que nos muestre si tenemos algún proceso susceptible de tener Malware ya que por defecto no viene activado tenemos que activarlo nosotros para ello vamos al menú “Options”, dentro sobre “VirusTotal.com” y el desplegable activamos “Check VicusTotal.com” le decimos que “Si”, y en ese momento en la parte derecha de la ventana se nos habilitará una nueva columna en la ventana principal del programa. En esta columna vamos a poder ver el resultado del análisis de cada uno de los procesos del PC en VirusTotal, sabiendo si todos ellos son seguros o o alguno se trata de un posible malware.
Ahora solo tenemos que fijarnos en que el contador este a 0 y en azul, en caso de que alguno de los procesos sea un malware o tenga algo sospechoso, podremos ver cómo el contador de amenazas se dispara y se pone en color rojo en función del número de antivirus que lo detectan peligroso. En caso de que esto nos ocurra sería recomendable finalizar el proceso cuanto antes pulsando con el botón derecho del ratón sobre el proceso y dándole a “Kill Process” para que deje de funcionar en el PC y buscar al responsable de él o bien utilizando la herramienta VirusTotal.com (pinchando con el botón derecho del ratón sobre los números en rojo del proceso y eligiendo la opción “virustotal.com” o con el Antivirus que tenemos instalado en nuestro ordenador.
En esta lección hemos aprendido una herramienta más para la guerra contra el Malware y para tener los dispositivos más seguros.
Visítanos en la tienda ThePhonePlanet e infórmate de cómo proteger tus dispositivos.
Espero que este artículo te sirva de ayuda. Deja tu comentario, duda o consulta y si te ha gustado. Este artículo y muchos más en el blog www.thephoneplanet.es
Hasta la próxima lección.
¡Aprendes conmigo?
