Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Procesos legítimos y nativos del sistema operativo II

Ver el tema anterior Ver el tema siguiente Ir abajo

Procesos legítimos y nativos del sistema operativo II

Mensaje  r32 el Miér Oct 20, 2010 6:48 am

La mayoría del malware emplea estrategias de Ingeniería Social aplicada sobre los archivos utilizando nombres similares a los que poseen los procesos legítimos del sistema, como por ejemplo “msss.exe“, “winlogOn.exe“, “scvhost.exe” o “lssas.exe“, precisamente para intentar pasar desapercibidos ante la vista de los usuarios.

Cuando hablamos de los procesos legítimos y nativos del sistema operativo abordamos algunos de los procesos más representativos de Windows y que normalmente solemos encontrar activos porque forman parte esencial del mismo. En esta segunda parte, continuamos explicando más procesos nativos y legítimos de estas plataformas:

* alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.
* lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32.
* explorer.exe: Representa al Explorador de Windows. Es la interfaz gráfica de la shell de Windows que posibilita la visualización de la barra de tareas, el administrador de archivos, el menú inicio y el escritorio del sistema. Se encuentra en la carpeta WINDOWS.
* ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.) . El mismo se encuentra alojado en la carpeta system32
* dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.

Los procesos expuestos representan algunos de los que comúnmente visualizamos en nuestro sistema a través del Administrador de tareas, y de los cuales habitualmente el malware intenta encubrirse para evitar ser detectados a simple vista, por lo que debemos chequearlos para tratar de identificar procesos maliciosos con nombres similares.

Por último, si bien es muy importante identificar cuáles son los proceso legítimos del sistema, bajo ningún punto de vista esto supone el remplazo de la protección provista por una herramienta de seguridad antivirus, sino que complementa el nivel de prevención a través del conocimiento.
avatar
r32
Moderador Global
Moderador Global

Posts : 509
KCoins : 1177
Reputación : 42
Fecha de inscripción : 03/11/2009

Premios :
Staff


Ver perfil de usuario

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.