Identificando procesos maliciosos en sistemas Windows

Cuando una computadora ha sido comprometida por algún malware, es muy común notar que no responde de la misma manera que solía hacerlo cotidianamente, o nos encontramos con algún proceso que no conocemos y por ende nos parece sospechoso.

Para despejar de nuestra mente la duda que provoca este tipo de episodios, vamos a mostrarles que en los distintos sistemas operativos Windows existen diferentes herramientas que son nativas de cada sistema y que, a priori, nos pueden ayudar a comprobar si estamos en presencia de un archivo o proceso malicioso.

No es para nada divertido descubrir que procesos misteriosos o desconocidos se están ejecutando en nuestra computadora, sin embargo es necesario chequearlos cada tanto para verificar que los procesos que se están ejecutando no sean la causa del dolor de cabeza que genera el mal comportamiento de una computadora infectada.

En tal sentido, una de las primeras cosas que podemos verificar es justamente el comportamiento de los procesos activos, es decir, que consumo de memoria utiliza cada proceso que está corriendo en la PC.

Para ello basta con teclear al mismo tiempo las teclas Ctrl + Alt +Supr, se abre el TaskManager, es decir, el Administrador de Tareas, a través de él podremos obtener información que, en primera instancia, nos permitirá saber si en nuestra computadora se está ejecutando algún proceso malicioso.

Otra alternativa, pero bajo línea de comandos, es ejecutar el comando tasklist, este simple comando también nos mostrará información sobre los procesos activos (sólo para Windows XP).

Información sobre los procesos activos

Información sobre los procesos activos

En caso de utilizar el Administrador de Tareas, al detectar uno o varios procesos maliciosos lo primero que debemos hacer es “matarlos”. Para ello, simplemente seleccionamos el proceso y hacemos clic en el botón “Terminar proceso”.

Ahora bien, para obtener el mismo efecto pero bajo línea de comandos, luego de ejecutar tasklist y detectar el proceso desconocido, tendremos que ejecutar otro comando para poder terminarlo, en este caso el comando taskkill seguido de su PID (Identificador de proceso), la sintaxis es la siguienete:

C: >taskkill /PID 2520

“Matando” procesos activos

“Matando” procesos activos

De esta manera habremos terminado el proceso y, por ende, lograremos eliminar el archivo que levantaba el proceso en cuestión (en este caso el notepad.exe).

Jorge

Autor , ESET

  • Pako

    Hola,

    Esta muy bien el articulo, como complemento decir que hay webs en las que te ponen que hacen los procesos, asi no cerraremos procesos que sean necesarios.

    http://www.processlibrary.com (ingles)
    http://www.procesoswindows.com (español)

    Saludos

  • Andrés Valcárcel Strong

    Bien, otra alternativa interesante es utilizar la última versión de la herramienta gratuita Spybot Search and Destroy, de manera avanzada.

    Esta herramienta existe en español y se puede descargar en:

    http://www.safer-networking.org

    Saludos

  • Pingback: Consejos pr()

  • Y qué hay de los procesos que uno no puede matarlos, y que claramente se identifican como malware, por allí escuche que se ejecutan en el nivel mas bajo del kernel y por ello no pueden terminarse, otros rumores dicen: Proceso del sistema, es vital, por lo tanto no puede terminarse, sería bueno que enfoquemos este tema, porque a veces no todo se resume en un “terminar proceso” o “taskkill”, y finalmente como un pedido “el análisis de malware”, para identificar archivos maliciosos.

    Gracias y saludos.

  • Hola Augusto, efectivamente, dependiendo del código malicioso, puede darse el caso que no se pueda matar el proceso, quizás porque no lo vemos (rootkit) o porque se inyectó en algún proceso legítimo del sistema. En estos casos, ESET NOD32 detecta, limpia y elimina la amenaza.

    El objetivo de este post no es comentar de qué manera realizan las actividades maliciosas sino de qué manera es posible identificar alguna anomalía en el equipo. A partir de allí, deberemos recurrir a herramientas específicas para tratar de erradicar del sistema el malware, siempre y cuando lo deseado sea realizar un trabajo más artesanal.

    Saludos y muchas gracias por el comentario.

    Jorge

  • Sergio Alejandro

    Pienso que aparte de los que nos señala el compañero es necesario verificar que el proceso no se vuelva a ejecutar en un posterior reinicio del sistema, tema que no se ha tenido en cuenta en este tutorial, en cuyo caso es necesario verificar los programas que se ejecutan al inicio con las herramientas creadas para tal fin; tambien pienso que a veces esos archivos no han sido reconocidos por el antivirus y ud debe eliminarlos manualmente observando la ruta en propiedades del proceso.
    Saludos desde colombia… Eset lo mejor!!!

Síguenos