Formas efectivas de identificar y superar los procesos de malware en Windows 11

Otros artículos interesantes

Proceso de codificación por colores en Process Explorer

 Process Explorer utiliza códigos de colores para ayudar a los usuarios a identificar el tipo de proceso que se está ejecutando. La siguiente es una explicación del código de colores utilizado:

Proceso morado:

Indica un archivo comprimido (también conocido como empaquetado), que puede ocultar código de malware. Este proceso suele ser una indicación temprana de malware, ya que están diseñados para ocultarse de los escáneres antivirus.

Proceso Rojo:

Indica el proceso que se está deteniendo. Esto significa que el proceso se ha cerrado o está en proceso de finalización.

Proceso Verde:

Indica un proceso que se acaba de llevar a cabo (también conocido como nacer). Es posible que este proceso se haya iniciado recientemente y deba verificarse más a fondo para garantizar su seguridad.

Proceso Azul Claro:

Muestra el proceso ejecutado por la misma cuenta que inició Process Explorer. Esto ayuda a los usuarios a comprender el contexto en el que proviene el proceso.

Proceso azul oscuro:

Muestra el proceso seleccionado actualmente por el usuario en la vista Process Explorer. Esto facilita que los usuarios se concentren en procesos específicos.

Proceso rosa:

Muestra los servicios que se ejecutan en el equipo, incluidos los procesos críticos del sistema, como svchost.exe. Este proceso puede acomodar uno o más servicios, compartiendo recursos para la eficiencia.

Uso de la codificación de colores para la identificación de malware

Al comprender este código de colores, los usuarios pueden identificar rápidamente las amenazas potenciales en sus sistemas. Los procesos de color púrpura deben examinarse más a fondo para asegurarse de que no son malware, mientras que otros procesos también deben supervisarse en función de su contexto y comportamiento.

El uso de esta función en Process Explorer permite a los usuarios realizar un análisis en profundidad de la actividad del sistema y tomar las medidas preventivas necesarias para proteger la computadora de amenazas maliciosas.

Comprobación de SVCHOST.EXE en busca de malware

El malware a menudo intenta imitar el proceso svchost.exe porque es un componente crítico del sistema operativo Windows que ejecuta los servicios del sistema. Dado que muchos usuarios y software de seguridad reconocen svchost.exe como un proceso legítimo, el malware se aprovecha de esto para ocultar su existencia.

svchost.exe los procesos suelen tener muchas instancias ejecutándose en segundo plano, lo que dificulta la detección de procesos no autorizados. El malware disfrazado de svchost.exe puede evadir la detección utilizando un nombre similar u operando con cuentas de usuario inusuales.

Cómo usar el icono [+] a la izquierda de un proceso para ver subprocesos que pueden ser malware

  1. Ejecute la aplicación Process Explorer en su computadora.
  2. Busque en la lista de procesos y encuentre todas las instancias de svchost.exe. Verá varias entradas para este proceso.
  3. A la izquierda del nombre del proceso svchost.exe, verá el icono [+]. Este icono indica que el proceso tiene subprocesos que se pueden examinar más a fondo.
  4. Haga clic en el icono [+] para expandir la vista y ver los subprocesos asociados con esa instancia svchost.exe. Mostrará todos los subprocesos que potencialmente pueden ser malware.
  5. Revise esos subprocesos para ver si algo es sospechoso o desconocido. Si encuentra un subproceso con un nombre inusual o desconocido, esto podría ser una indicación de malware.
Process Explorer svchost

Verificación de la autenticidad del proceso de SVCHOST.EXE

Para verificar la autenticidad del proceso de svchost.exe, el primer paso es habilitar la columna que muestra la cuenta de usuario que ejecutó el proceso. Estos son los pasos:

  1. Ejecute la aplicación Process Explorer en su computadora.
  2. En la parte superior de la ventana Process Explorer, haga clic con el botón derecho en el título de la columna para abrir el menú contextual.
  3. En el menú que aparece, seleccione la opción “Select Columns.”.
  4. En el cuadro de diálogo que aparece, localice y marque la opción UserName. Después de eso, haga clic en Aceptar para cerrar el cuadro de diálogo.
  5. Ahora verá una nueva columna en la lista de procesos que muestra la cuenta de usuario para cada proceso en ejecución.
Process Explorer Username

Nombre de usuario válido para SVCHOST.EXE proceso

Todos los procesos originales de svchost.exe se ejecutarán bajo uno de los siguientes tres nombres de usuario:

  • NT AUTHORITY\SYSTEM
  • LOCAL SERVICE
  • NETWORK SERVICE

Si encuentra una instancia de svchost.exe ejecutándose con otro nombre de usuario, esto podría ser una indicación de que el proceso es malware.

Comprobación de las propiedades de SVCHOST.EXE proceso para garantizar la autenticidad

El siguiente paso para verificar la autenticidad del proceso es comprobar sus propiedades:

  1. Localice y haga clic con el botón derecho en la instancia del svchost.exe que desea comprobar.
  2. En el menú contextual, seleccione la opción “Properties”.
  3. En la ventana Propiedades, observe el campo Command line. El proceso nativo de Windows siempre se iniciará con:
C:\Windows\System32\svchost.exe –k

Si la línea de comandos no se ajusta a este formato, lo más probable es que se trate de malware.

Conclusión

Process Explorer es una herramienta importante para identificar y lidiar con procesos de malware en sistemas Windows 11. Al comprender el código de colores utilizado en Process Explorer, los usuarios pueden reconocer rápidamente los procesos sospechosos, especialmente los relacionados con svchost.exe, de los que a menudo abusa el malware.

Pasos como la comprobación de las cuentas de usuario y las propiedades del proceso son cruciales para garantizar la autenticidad y la seguridad del sistema. Comprobar regularmente el sistema con esta herramienta ayudará a mantener el dispositivo a salvo de amenazas de malware malicioso.

Artículos más recientes

Artículos Relacionados