Traducir

viernes, 1 de junio de 2012

Seguridad Informática - Troyanos parte 2

Anteriormente en Seguridad Informática-Troyanos 1 explique la definición de troyano y en que consiste el mismo y les había prometido el como darse cuenta su tu PC estaba infectada del mismo.
Basta decir que una manera infalible para detectar un troyano no existe, esto se debe a que así como existen desarrolladores que crean las aplicaciones que normalmente usas, también existen otro tipo de desarrolladores que crean estas monstruosidades solo con la intención de hacer daño. Pero ante esto no todo esta perdido ya que existen ciertos métodos para saber si tenemos a un indeseable “inquilino”.
Para empezar a sospechar que estemos infectados por algún software malicioso notaremos síntomas en nuestra PC como cuando se pone lenta o se cuelga muy seguido mostrando la famosa pantallita azul, podemos empezar a sospechar que algo no está bien. 
Cayendo en tema la mejor opción seria por optar de un software anti-troyano, por ser un factor especializado en esta área, recomiendo el Malwarebyts por mi experiencia con el que a resultado bastante agradable.
Otra manera de detectarlos que vendría siendo de una manera manual es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc. Esto lo podremos checar con el administrador de tareas presionando Ctrl + Alt + Del y en la pestaña de procesos.
¿Cómo saber que procesos son irregulares?
Basta con hacer una pequeña consulta a nuestra gran herramienta “Google” para saber que procesos son normales en nuestro sistema pero les traigo dos grandes bases de datos que podrían ayudar para estar totalmente seguros de lo que haremos: http://www.processlibrary.com/es/.
Otro sitio para comprobar los procesos:
Un ejemplo de un proceso malware (Software malicioso) podría ser wiwshost.exe: Es un troyano cuya función silenciosa es descargar, instalar y ejecutar más malware en el sistema. Se ejecuta en la ruta por defecto: c:\windows\system32\WINSHOST.EXE
Ya sabiendo que es un troyano tendríamos que realizar cuatro pasos para la desinfección manual. 
  1. Ya ubicado el troyano nos dirigiríamos donde se encuentre y lo eliminamos presionando Shift+Del.
  2.  Luego seguiría a modificar el registro de Windows ya que el troyano llega a jugar mucho con esto (Esta parte es algo extensa pero si alguien esta interesado a eliminarlos manualmente con gusto pongo las líneas de registro a modificar). 
  3. Restaurar el archivo "host" ubicado en la ruta c:\windows\system32\drivers\etc\ (Dependiendo de tu versión de Windows la ruta cambiara), lo abriríamos con el editor de texto y eliminaríamos “127.0.0.1 localhost”. 
  4. Borrar lo archivos temporales para esto para esto presionamos Inicio+R y escribimos en ejecutar “%TEMP%”. Ya en la carpeta seleccionaríamos todo y lo borramos con Shift+Del (En caso que no puedas eliminar debes ingresar en modo seguro).
Ya con esto deberíamos haber cortado la residencia a nuestro “Inquilino”.

5 comentarios:

ARBOME dijo...

Con respecto a la nota desconocía de este procedimiento tan sencillo anteriormente lo que hacia era formatear la unidad C o hacerlo por medio command prompt lo cual resulta bastante difícil... si tenia conocimientos que en el task manager uno podía ver los archivos que estaban ejecutando, pero no sabia como llegar a la carpeta de origen o de donde se estaban realizando.... me parece muy buena la nota del blog...

YnopD93 dijo...

como comente en el post anterior, estaba esperando esta parte, no tengo manera de comprobar las soluciones en este momento ya que basicamente son para windows, pero me parece muy interesante el dato, ya que como informaticos tenemos que estar al tanto de las posibles soluciones a problemas tan comunes ccomo este.

Anónimo dijo...

Que interesante, me parece que esta muy util este post ya que se suele saber muy poco de los trollanos y no sabes cuando tenermos uno, ni saber comoquitarselos de encima. gracias.

Ralphy dijo...

tengo windows 8 preview en mi laptop... y este sitio http://www.processlibrary.com/es/. no me dio informacion de ninguno de los procesos que estaban en este momento en mi task manager.. me gustaria saber si este sitio solo tiene BD de procesos malware o no, o talvez mi S.O. esta muy sano ahorita :), el aporte es muy bueno, cabe destacar que es recomendable tener un antivirus extra que escanee desde registro.. existen herramientas en DOS que hacen un buen trabajo desde afuera del S.O. buen aporte para el mantenimioento preventivo y correctivo muchos problemas del s.o. se resuelven asi y no necesariamente formatiando y reinstalando....

Unknown dijo...

Ralphy lo que pasa con el windows 8 es que trata de esconder un poco más estos detalles para los usuario, pero para ver el nombre real del proceso solo tienes que darle click derecho el proceso que quieras inspeccionar y le das a propiedades, ahí te pondrá el nombre real que normalmente es un .exe o un .dll. En tanto al sitio http://www.processlibrary.com/es/ es una base de datos que tiene tanto información de procesos malware como procesos normales de windows. entonces este te dirá si tus sospechas son infundadas o es algo de lo que no tienes que preocuparte.

Publicar un comentario

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Online Project management