Un tema sumamente complicado es identificar procesos maliciosos que pudieran estar en ejecución en nuestro sistema; y quizás su complejidad radica en un factor con el mismo nivel de importancia, que es conocer qué procesos son legítimos y válidos del sistema, y nativos de Windows.
En consecuencia, vamos a conocer algunos de ellos, sobre todo los más representativos que comúnmente podemos encontrar en nuestro equipo junto a una breve explicación de su función principal:
- smss.exe: Acrónimo de Session Manager Subsystem, es el proceso encargado de manejar las sesiones de usuario en el sistema y se encuentra alojado en la carpeta system32 de Windows.
- csrss.exe: Acrónimo de Client Server Runtime SubSystem, es utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32. Se encuentra alojado en la carpeta system32 de Windows.
- winlogon.exe: Se refiere a Microsoft Windows Logon Process. Este proceso es utilizado por el sistema operativo durante la fase de autenticación y también se encuentra alojado en la carpeta system32 de Windows
- services.exe: Acrónimo de Services Control Manager; es el encargado de iniciar y detener los servicios del sistema operativo. Al igual que los anteriores, este programa se aloja en la carpeta system32.
- svchost.exe: Acrónimo de Microsoft Service Host Process. Se encarga de ejecutar todos aquellos servicio que se ejecutan a través de Librerías de Enlaces Dinámicos (DLL, Dynamic Link Library). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar. Se aloja en la carpeta system32 de Windows.
Aunque este tema parezca un tanto trivial, es muy importante conocer cuales son los procesos nativos de nuestro sistema operativo y cuáles no lo son, ya que este punto constituye una herramienta fundamental para detectar de manera temprana el accionar de códigos maliciosos.
Cabe aclarar que es normal ver estos procesos ya que forman parte esencial del sistema operativo, y además no significa que sean maliciosos.
Sin embargo, por esta misma condición, el malware suele enmascarase bajo nombres similares, bajo los mismos nombres o, incluso, inyectando código malicioso dentro del proceso válido. Por esta razón es sumamente importante la implementación de una solución de seguridad antivirus con capacidades de detección proactiva como ESET NOD32, ya que permite prevenir la infección.
En futuras entradas iremos abordando este tema exponiendo más información para que conozcan otros procesos legítimos (o no) del sistema operativo.
Jorge
