Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Procesos legítimos y nativos del sistema operativo I

Ver el tema anterior Ver el tema siguiente Ir abajo

Procesos legítimos y nativos del sistema operativo I

Mensaje  r32 el Dom Mayo 23, 2010 10:28 am

Un tema sumamente complicado es identificar procesos maliciosos que pudieran estar en ejecución en nuestro sistema; y quizás su complejidad radica en un factor con el mismo nivel de importancia, que es conocer qué procesos son legítimos y válidos del sistema, y nativos de Windows.

En consecuencia, vamos a conocer algunos de ellos, sobre todo los más representativos que comúnmente podemos encontrar en nuestro equipo junto a una breve explicación de su función principal:

* smss.exe: Acrónimo de Session Manager Subsystem, es el proceso encargado de manejar las sesiones de usuario en el sistema y se encuentra alojado en la carpeta system32 de Windows.
* csrss.exe: Acrónimo de Client Server Runtime SubSystem, es utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32. Se encuentra alojado en la carpeta system32 de Windows.
* winlogon.exe: Se refiere a Microsoft Windows Logon Process. Este proceso es utilizado por el sistema operativo durante la fase de autenticación y también se encuentra alojado en la carpeta system32 de Windows
* services.exe: Acrónimo de Services Control Manager; es el encargado de iniciar y detener los servicios del sistema operativo. Al igual que los anteriores, este programa se aloja en la carpeta system32.
* svchost.exe: Acrónimo de Microsoft Service Host Process. Se encarga de ejecutar todos aquellos servicio que se ejecutan a través de Librerías de Enlaces Dinámicos (DLL, Dynamic Link Library). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar. Se aloja en la carpeta system32 de Windows.



Sin embargo, por esta misma condición, el malware suele enmascarase bajo nombres similares, bajo los mismos nombres o, incluso, inyectando código malicioso dentro del proceso válido. Por esta razón es sumamente importante la implementación de una solución de seguridad antivirus con capacidades de detección proactiva, ya que permite prevenir la infección.

La mayoría del malware emplea estrategias de Ingeniería Social aplicada sobre los archivos utilizando nombres similares a los que poseen los procesos legítimos del sistema, como por ejemplo “msss.exe“, “winlogOn.exe“, “scvhost.exe” o “lssas.exe“, precisamente para intentar pasar desapercibidos ante la vista de los usuarios.

Cuando hablamos de los procesos legítimos y nativos del sistema operativo abordamos algunos de los procesos más representativos de Windows y que normalmente solemos encontrar activos porque forman parte esencial del mismo. En esta segunda parte, continuamos explicando más procesos nativos y legítimos de estas plataformas:

* alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.
* lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32.
* explorer.exe: Representa al Explorador de Windows. Es la interfaz gráfica de la shell de Windows que posibilita la visualización de la barra de tareas, el administrador de archivos, el menú inicio y el escritorio del sistema. Se encuentra en la carpeta WINDOWS.
* ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.) . El mismo se encuentra alojado en la carpeta system32
* dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.

Los procesos expuestos representan algunos de los que comúnmente visualizamos en nuestro sistema a través del Administrador de tareas, y de los cuales habitualmente el malware intenta encubrirse para evitar ser detectados a simple vista, por lo que debemos chequearlos para tratar de identificar procesos maliciosos con nombres similares.

Por último, si bien es muy importante identificar cuáles son los proceso legítimos del sistema, bajo ningún punto de vista esto supone el remplazo de la protección provista por una herramienta de seguridad antivirus como ESET NOD32 sino que complementa el nivel de prevención a través del conocimiento.

¿Por qué es importante conocer los procesos nativos del sistema operativo?

Es muy frecuente en los usuarios de plataformas Microsoft Windows, el consultar al Administrador de tareas, con el fin de identificar procesos desconocidos, que puedan estar siendo ejecutados en el sistema, y generando perjuicios al usuario: códigos maliciosos, aplicaciones instaladas innecesarias, etc.

En este contexto, son muchos los usuarios que identifican erróneamente procesos legítimos del sistema como inválidos, categorizándolos como maliciosos. Es habitual que los usuarios nos realicen consultas del tipo “tengo un virus, se ejecuta como svchost.exe”, confundiendo el archivo legítimo del sistema operativo con un malware.

¿Esto significa que si encuentro un proceso con algunos de los nombres mencionados, de seguro no es un código malicioso?

No, esto significa que es normal que existan procesos con estos nombres, y que no se debe asumir que estos son códigos maliciosos sin un análisis (de hecho, no lo serán en la mayoría de los casos).

Sin embargo, los creadores de malware no son ajenos a esta información, y utilizan Ingeniería Social aplicada sobre los archivos, ejecutándolos con nombres de procesos iguales o similares a otros benignos (tales como los nativos del sistema operativo). Por lo tanto, puede existir un proceso malicioso con estos nombres.

¿Cómo hago para detectar un proceso malicioso con estos nombres?

En primer término es importante cambiar el enfoque. El objetivo es detectar códigos maliciosos, no reconocer procesos; independientemente que esta sea una práctica casera que utilizamos como usuarios para identificar acciones sospechosas.

Por lo tanto, un antivirus con capacidades proactivas de detección será capaz de detectar cualquier código malicioso que se esté ejecutando en el sistema, independientemente del nombre de proceso utilizado.

Además, en muchos casos los procesos creados por códigos maliciosos, pueden ser terminados desde el Administrador de tareas, mientras un proceso crítico del sistema no:



Sin embargo, códigos maliciosos con funcionalidades de rootkit pueden inyectar sus acciones dentro de un proceso legítimo del sistema, de forma de que el usuario tampoco pueda finalizar su ejecución desde el Administrador de tareas.

Por lo tanto, cabe destacar que la búsqueda de procesos sospechosos es una técnica válida solo para obtener una aproximación a la detección de códigos maliciosos en el equipo, y no debe ser considerada una vía legítima para la detección de estos. Asimismo, el usuario debe saber que en todo sistema con Microsoft Windows, existirán estos procesos en ejecución de forma nativa en el sistema operativo, y no deben alertarse por el solo hecho de observarlos.

Fuente: ESET
avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.