La identificación de los procesos de malware es muy importante para mantener la seguridad del sistema Windows 11. El malware puede causar una variedad de problemas graves, como robo de datos, ralentización del rendimiento e incluso daños en el sistema.
Siguiendo los pasos que se explicarán, podrás identificar los procesos de malware de forma rápida y precisa utilizando las herramientas adecuadas. Esto le ayudará a mantener su sistema seguro, estable y libre de amenazas de malware malicioso.
Comprender el malware y su proceso
Malware significa Malicious Software es software malicioso diseñado para dañar, interrumpir u obtener acceso no autorizado a los sistemas informáticos. Los tipos de malware incluyen virus, gusanos, troyanos, ransomware y spyware. El impacto del malware puede ser devastador, e incluye:
- El malware puede robar información confidencial como contraseñas, números de tarjetas de crédito y otros datos personales.
- Algunos programas maliciosos pueden dañar archivos importantes del sistema, causando daños permanentes al hardware o al software.
- La presencia de malware puede ralentizar significativamente el rendimiento del sistema debido al uso excesivo de recursos.
- Algunos tipos de malware permiten a los atacantes tomar el control del sistema de forma remota, lo que les da acceso completo para realizar acciones maliciosas.
El malware a menudo está diseñado para operar de manera sigilosa y monitorearse entre sí. Esto significa que si un proceso de malware se detiene o se cierra, el otro proceso lo detectará e intentará reiniciar el proceso estancado.
Este proceso involucra varias técnicas, tales como:
1. Uso de procesos ocultos
El malware a menudo se disfraza mediante el uso de nombres de procesos que son similares a los procesos legítimos del sistema (por ejemplo, svchost.exe). Esto dificulta la detección por parte de los usuarios ocasionales y del software de seguridad.
2. Ocultación de código
Muchos programas maliciosos utilizan técnicas de compresión o empaquetado para ocultar su código de los escáneres antivirus. De esta manera, pueden operar sin ser detectados.
3. Mecanismo de recuperación
Si el malware detecta que una de sus instancias ha sido terminada, puede reiniciar automáticamente el proceso para garantizar la continuidad de sus operaciones. Esto crea una red de procesos que se monitorean y protegen entre sí.
Conozca Process Explorer de Microsoft Sysinternals.
Process Explorer es una poderosa herramienta desarrollada por Microsoft Sysinternals para ayudar a los usuarios a monitorear y administrar los procesos que se ejecutan en sistemas Windows. La herramienta proporciona información detallada sobre cada proceso, incluido su nombre, ID de proceso, uso de CPU y memoria, y ruta del archivo de ejecución.
Una de las características clave de Process Explorer es su capacidad para resaltar procesos sospechosos o potencialmente dañinos, como el malware, mediante el uso de diferentes códigos de colores. Por lo tanto, los usuarios pueden identificar fácilmente y tomar medidas contra procesos no deseados.
Cómo descargar e instalar Process Explorer
1. Descargar Process Explorer:
- Visite el sitio web oficial de Microsoft Sysinternals.
- Busque la sección Process Explorer y haga clic en el enlace de descarga.
- El archivo de descarga suele ser un archivo ZIP.
2. Instale Process Explorer:
- Extraiga el archivo ZIP descargado en la ubicación deseada en su computadora.
- Abra la carpeta extraída y busque un archivo llamado procexp.exe o procexp64.exe (dependiendo de su versión de Windows).
- Haga doble clic en el archivo para ejecutar Process Explorer sin necesidad de una instalación formal.
3. Correr Process Explorer:
- Una vez que se abre la aplicación, verá una interfaz que muestra una lista de todos los procesos que se están ejecutando.
- Para obtener más información sobre un proceso, simplemente haga clic con el botón derecho en el proceso y seleccione la opción adecuada.
Pasos para identificar procesos de malware usando Process Explorer
- Ejecute Process Explorer en su sistema Windows 11.
- Observe los procesos marcados en púrpura en la lista de procesos. Lo más probable es que los procesos de color púrpura sean malware porque los archivos están comprimidos o empaquetados, lo que puede ocultar código malicioso.
- Haga clic con el botón derecho en el proceso sospechoso y seleccione “Properties” para obtener más información.
- Compruebe si el proceso se está ejecutando con una cuenta de usuario inusual, como no NT AUTHORITYSYSTEM, LOCAL SERVICE o NETWORK SERVICE. Es probable que los procesos que se ejecutan en otras cuentas sean malware.
- Si el proceso es una instancia de svchost.exe, haga clic con el botón derecho y compruebe sus propiedades. El proceso nativo de Windows comenzará con C:\Windows\System32\svchost.exe –k. Si no es así, podría tratarse de malware.
Proceso de codificación por colores en Process Explorer
Process Explorer utiliza códigos de colores para ayudar a los usuarios a identificar el tipo de proceso que se está ejecutando. La siguiente es una explicación del código de colores utilizado:
Proceso morado:
Indica un archivo comprimido (también conocido como empaquetado), que puede ocultar código de malware. Este proceso suele ser una indicación temprana de malware, ya que están diseñados para ocultarse de los escáneres antivirus.
Proceso Rojo:
Indica el proceso que se está deteniendo. Esto significa que el proceso se ha cerrado o está en proceso de finalización.
Proceso Verde:
Indica un proceso que se acaba de llevar a cabo (también conocido como nacer). Es posible que este proceso se haya iniciado recientemente y deba verificarse más a fondo para garantizar su seguridad.
Proceso Azul Claro:
Muestra el proceso ejecutado por la misma cuenta que inició Process Explorer. Esto ayuda a los usuarios a comprender el contexto en el que proviene el proceso.
Proceso azul oscuro:
Muestra el proceso seleccionado actualmente por el usuario en la vista Process Explorer. Esto facilita que los usuarios se concentren en procesos específicos.
Proceso rosa:
Muestra los servicios que se ejecutan en el equipo, incluidos los procesos críticos del sistema, como svchost.exe. Este proceso puede acomodar uno o más servicios, compartiendo recursos para la eficiencia.
Uso de la codificación de colores para la identificación de malware
Al comprender este código de colores, los usuarios pueden identificar rápidamente las amenazas potenciales en sus sistemas. Los procesos de color púrpura deben examinarse más a fondo para asegurarse de que no son malware, mientras que otros procesos también deben supervisarse en función de su contexto y comportamiento.
El uso de esta función en Process Explorer permite a los usuarios realizar un análisis en profundidad de la actividad del sistema y tomar las medidas preventivas necesarias para proteger la computadora de amenazas maliciosas.
Comprobación de SVCHOST.EXE en busca de malware
El malware a menudo intenta imitar el proceso svchost.exe porque es un componente crítico del sistema operativo Windows que ejecuta los servicios del sistema. Dado que muchos usuarios y software de seguridad reconocen svchost.exe como un proceso legítimo, el malware se aprovecha de esto para ocultar su existencia.
svchost.exe los procesos suelen tener muchas instancias ejecutándose en segundo plano, lo que dificulta la detección de procesos no autorizados. El malware disfrazado de svchost.exe puede evadir la detección utilizando un nombre similar u operando con cuentas de usuario inusuales.
Cómo usar el icono [+] a la izquierda de un proceso para ver subprocesos que pueden ser malware
- Ejecute la aplicación Process Explorer en su computadora.
- Busque en la lista de procesos y encuentre todas las instancias de svchost.exe. Verá varias entradas para este proceso.
- A la izquierda del nombre del proceso svchost.exe, verá el icono [+]. Este icono indica que el proceso tiene subprocesos que se pueden examinar más a fondo.
- Haga clic en el icono [+] para expandir la vista y ver los subprocesos asociados con esa instancia svchost.exe. Mostrará todos los subprocesos que potencialmente pueden ser malware.
- Revise esos subprocesos para ver si algo es sospechoso o desconocido. Si encuentra un subproceso con un nombre inusual o desconocido, esto podría ser una indicación de malware.
Verificación de la autenticidad del proceso de SVCHOST.EXE
Para verificar la autenticidad del proceso de svchost.exe, el primer paso es habilitar la columna que muestra la cuenta de usuario que ejecutó el proceso. Estos son los pasos:
- Ejecute la aplicación Process Explorer en su computadora.
- En la parte superior de la ventana Process Explorer, haga clic con el botón derecho en el título de la columna para abrir el menú contextual.
- En el menú que aparece, seleccione la opción “Select Columns.”.
- En el cuadro de diálogo que aparece, localice y marque la opción UserName. Después de eso, haga clic en Aceptar para cerrar el cuadro de diálogo.
- Ahora verá una nueva columna en la lista de procesos que muestra la cuenta de usuario para cada proceso en ejecución.
Nombre de usuario válido para SVCHOST.EXE proceso
Todos los procesos originales de svchost.exe se ejecutarán bajo uno de los siguientes tres nombres de usuario:
- NT AUTHORITY\SYSTEM
- LOCAL SERVICE
- NETWORK SERVICE
Si encuentra una instancia de svchost.exe ejecutándose con otro nombre de usuario, esto podría ser una indicación de que el proceso es malware.
Comprobación de las propiedades de SVCHOST.EXE proceso para garantizar la autenticidad
El siguiente paso para verificar la autenticidad del proceso es comprobar sus propiedades:
- Localice y haga clic con el botón derecho en la instancia del svchost.exe que desea comprobar.
- En el menú contextual, seleccione la opción “Properties”.
- En la ventana Propiedades, observe el campo Command line. El proceso nativo de Windows siempre se iniciará con:
C:\Windows\System32\svchost.exe –kSi la línea de comandos no se ajusta a este formato, lo más probable es que se trate de malware.
Conclusión
Process Explorer es una herramienta importante para identificar y lidiar con procesos de malware en sistemas Windows 11. Al comprender el código de colores utilizado en Process Explorer, los usuarios pueden reconocer rápidamente los procesos sospechosos, especialmente los relacionados con svchost.exe, de los que a menudo abusa el malware.
Pasos como la comprobación de las cuentas de usuario y las propiedades del proceso son cruciales para garantizar la autenticidad y la seguridad del sistema. Comprobar regularmente el sistema con esta herramienta ayudará a mantener el dispositivo a salvo de amenazas de malware malicioso.