Algunas formas y consejos útiles para conocer si existe malware y virus en el sistema, aun cuando el antivirus no lo detecte, comprobar manualmente las claves del registro que modifican para iniciarse con Windows. Como conocer las conexiones salientes establecidas por aplicaciones con el exterior.
Pese a lo sofisticado de los sistemas de seguridad modernos que instalamos en nuestros equipos, los fabricantes y desarrolladores de los programas malignos, están constantemente elaborando nuevas fórmulas y vías para que sus productos no puedan ser detectados y pasen desapercibidos tanto al usuario como a los programas antivirus.
Uno de los ejemplos modernos y más fehacientes constituye la nueva versión del famoso RECYCLER, que ha infestado a cientos de miles de equipos y antivirus como el eficiente Kaspersky no reconocía al ejecutable como un virus, aunque se le señalara específicamente y pese a que este software es famoso por su motor heurístico.
Eso nos convence de que no hay sistema seguro y que no debemos confiarnos en lo absoluto de ningún sistema de seguridad automático, en ocasiones la simple lógica de ver en un dispositivo USB un archivo oculto sospechoso, debe bastar para levantar la alerta.
Requisitos elementales para estar alerta de la existencia de programas malignos en el equipo.
Lógicamente existen requisitos elementales para estar alerta sobre cualquier modificación realizada por el malware, esencial es tener activada la opción de: "Ver las carpetas y archivos ocultos" y de: "Mostrar los archivos de sistema", las dos fácil de configurar en Opciones de carpeta.
Además se debe monitorear regularmente los procesos abiertos ya sea en el Administrador de tares o usar para ello alguna aplicación más específica y avanzada como Process Explorer y también Autoruns las cuales puedes descargar gratis en Sysinternals http://www.sysinternals.com/ sitio de Microsoft.
Como detectar virus y malware que se inician con el sistema.
Si tienes los conocimientos básicos para la edición del registro de Windows puedes revisar manualmente las siguientes entradas del mismo en busca de referencias a códigos maliciosos que se inician con el sistema y eliminarlas manualmente, de esta forma también podrás descartar que tu sistema no pertenezca a ninguna red zombie.
Todos los virus y otros malware crean entradas en las siguientes claves del registro para lograr iniciar con Windows, es ocasiones emplean nombres comunes a procesos de Windows para engañar a los antivirus, por lo que tendrás que conocer que programas o aplicaciones tú has autorizado a iniciarse con el sistema y posteriormente revisar las claves cada cierto tiempo, al encontrar algo nuevo en ellas, verifica el archivo al que su valor señala y elimínalo si es sospechoso.
Aunque un virus radique en tu sistema estará inerte si no logra iniciarse y no podrá hacer ningún daño.
Claves del registro que modifican los virus para iniciar con Windows.
Las claves del registro que modifican los virus para lograr iniciarse con Windows son las siguientes:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
Quitar los permisos a las claves del registro que modifican los virus.
Algunos administradores evitan la infección por malware modificando los permisos en dichas claves, en ese caso hacen imposible al virus escribir los valores necesarios para iniciarse con el sistema.
Se hace eliminando todos los usuarios de los permisos, excepto a SYSTEM.
Para conocer como establecer los permisos para esa tarea lee la siguiente página:
Como administrar y cambiar permisos a carpetas y archivos en Windows
Otra forma de conocer programas o aplicaciones que inician con el sistema
Un método sencillo de conocer todos los programas o aplicaciones que hayan modificado el sistema para iniciarse con Windows, es el siguiente.
• Copia y pega la siguiente línea de código en el cuadro de Inicio o Ejecutar y oprime Enter:
CMD /K WMIC /Output:STDOUT STARTUP get /all /format:LIST | more
Abrirá la pantalla de CMD y te mostrará cada uno de ellos con todos sus detalles.
Utilizando de la misma forma el siguiente código, creará un archivo de texto en tu escritorio con toda la información.
CMD /C WMIC /Output:STDOUT STARTUP get /all /format:LIST>%userprofile%Desktopinforme.txt
Detectar las conexiones salientes establecidas con el exterior.
No constituye ninguna histeria cada cierto tiempo chequear las conexiones que establece nuestro equipo al estar conectado a la red con el exterior y comprobar si existe alguna saliente donde esté involucrada alguna aplicación que no tenga motivos para establecer dicha conexión.
Al estar conectados a la red es muy común que ciertas aplicaciones establezcan conexiones de forma autónoma y automática con el exterior, ejemplo de ello son los antivirus, clientes de email, software en busca de su actualización, etc. Pero es totalmente anómalo que otras, sin motivo aparente establezcan una conexión con sitios web remotos desconocidos.
Un ejemplo de ello puede ser juegos que no se estén ejecutando en ese momento y que traten de conectarse con una dirección IP externa, esto sucede con alguna frecuencia en el caso de juegos gratis y se debe a que contienen spyware, dedicados al robo de logins o nombres de usuario y contraseñas.
Si no utilizas tu equipo en transacciones o pagos financieros no te afectará relativamente, pero estas aplicaciones pueden abrir puertos que aprovechen otros programas malignos para introducirse en el equipo.
Con la herramienta NETSTAT, aplicación que incluye Windows en la línea de comandos, es fácil chequear estas conexiones e inclusive crear un pequeño registro.
Como usar NETSAT para revisar conexiones salientes establecidas.
Solo copia el siguiente código en el cuadro de Inicio y oprime la tecla Enter, la ventana negra de la consola de cmd que se abrirá minimízala y chequéala cada cierto tiempo.
Los parámetros utilizados en este código hacen que NETSTAT revise y se actualice cada 5 segundos. En caso de que exista una conexión, mostrará el nombre de la aplicación que la establece, su PID (Identificador de proceso, número que identifica a un proceso mientras se ejecuta) y la dirección IP del sitio con el que se conecta.
cmd /k NETSTAT -ANOB -P TCP 04|FINDSTR /C:ESTABLISHED & ping -n 6 127.0.0.1>nul
Crear un registro de las conexiones salientes establecidas.
Si quieres crear un registro en un archivo de texto para revisar el resultado al cabo de un tempo, entonces utiliza el siguiente método.
Copia y pega de la misma forma el siguiente código en Inicio o Ejecutar y oprime Enter, se creará un archivo de texto en tu escritorio llamado: "Informe.txt", donde se irán registrando los datos (no cierres la ventana de la consola, solo minimízala).
CMD /K NETSTAT -ANOB -P TCP 04|FINDSTR /C:ESTABLISHED> %userprofile%DesktopInforme.txt
Si el proceso sospechoso está comprendido en svchost.exe, este aglutina varios procesos que solo pertenecen a Windows, por lo que no es probable que sea una aplicación de terceros.
Para mas información Visiten nuestro sitio web www.scsintl.com