Pasos para identificar procesos de malware usando Process Explorer
- Ejecute Process Explorer en su sistema Windows 11.
- Observe los procesos marcados en púrpura en la lista de procesos. Lo más probable es que los procesos de color púrpura sean malware porque los archivos están comprimidos o empaquetados, lo que puede ocultar código malicioso.
- Haga clic con el botón derecho en el proceso sospechoso y seleccione “Properties” para obtener más información.
- Compruebe si el proceso se está ejecutando con una cuenta de usuario inusual, como no NT AUTHORITYSYSTEM, LOCAL SERVICE o NETWORK SERVICE. Es probable que los procesos que se ejecutan en otras cuentas sean malware.
- Si el proceso es una instancia de svchost.exe, haga clic con el botón derecho y compruebe sus propiedades. El proceso nativo de Windows comenzará con C:\Windows\System32\svchost.exe –k. Si no es así, podría tratarse de malware.
Proceso de codificación por colores en Process Explorer
Process Explorer utiliza códigos de colores para ayudar a los usuarios a identificar el tipo de proceso que se está ejecutando. La siguiente es una explicación del código de colores utilizado:
Proceso morado:
Indica un archivo comprimido (también conocido como empaquetado), que puede ocultar código de malware. Este proceso suele ser una indicación temprana de malware, ya que están diseñados para ocultarse de los escáneres antivirus.
Proceso Rojo:
Indica el proceso que se está deteniendo. Esto significa que el proceso se ha cerrado o está en proceso de finalización.
Proceso Verde:
Indica un proceso que se acaba de llevar a cabo (también conocido como nacer). Es posible que este proceso se haya iniciado recientemente y deba verificarse más a fondo para garantizar su seguridad.
Proceso Azul Claro:
Muestra el proceso ejecutado por la misma cuenta que inició Process Explorer. Esto ayuda a los usuarios a comprender el contexto en el que proviene el proceso.
Proceso azul oscuro:
Muestra el proceso seleccionado actualmente por el usuario en la vista Process Explorer. Esto facilita que los usuarios se concentren en procesos específicos.
Proceso rosa:
Muestra los servicios que se ejecutan en el equipo, incluidos los procesos críticos del sistema, como svchost.exe. Este proceso puede acomodar uno o más servicios, compartiendo recursos para la eficiencia.
Uso de la codificación de colores para la identificación de malware
Al comprender este código de colores, los usuarios pueden identificar rápidamente las amenazas potenciales en sus sistemas. Los procesos de color púrpura deben examinarse más a fondo para asegurarse de que no son malware, mientras que otros procesos también deben supervisarse en función de su contexto y comportamiento.
El uso de esta función en Process Explorer permite a los usuarios realizar un análisis en profundidad de la actividad del sistema y tomar las medidas preventivas necesarias para proteger la computadora de amenazas maliciosas.
Comprobación de SVCHOST.EXE en busca de malware
El malware a menudo intenta imitar el proceso svchost.exe porque es un componente crítico del sistema operativo Windows que ejecuta los servicios del sistema. Dado que muchos usuarios y software de seguridad reconocen svchost.exe como un proceso legítimo, el malware se aprovecha de esto para ocultar su existencia.
svchost.exe los procesos suelen tener muchas instancias ejecutándose en segundo plano, lo que dificulta la detección de procesos no autorizados. El malware disfrazado de svchost.exe puede evadir la detección utilizando un nombre similar u operando con cuentas de usuario inusuales.
Cómo usar el icono [+] a la izquierda de un proceso para ver subprocesos que pueden ser malware
- Ejecute la aplicación Process Explorer en su computadora.
- Busque en la lista de procesos y encuentre todas las instancias de svchost.exe. Verá varias entradas para este proceso.
- A la izquierda del nombre del proceso svchost.exe, verá el icono [+]. Este icono indica que el proceso tiene subprocesos que se pueden examinar más a fondo.
- Haga clic en el icono [+] para expandir la vista y ver los subprocesos asociados con esa instancia svchost.exe. Mostrará todos los subprocesos que potencialmente pueden ser malware.
- Revise esos subprocesos para ver si algo es sospechoso o desconocido. Si encuentra un subproceso con un nombre inusual o desconocido, esto podría ser una indicación de malware.
