Algunas formas y consejos tiles para conocer si existe malware y virus en el sistema, aun cuando el antivirus no lo detecte, comprobar

manualmente las claves del registro que modifican para iniciarse con Windows. Como conocer las conexiones salientes establecidas por aplicaciones con el exterior.

Pese a lo sofisticado de los sistemas de seguridad modernos que instalamos en nuestros equipos, los fabricantes y desarrolladores de los programas malignos, estn constantemente elaborando nuevas frmulas y vas para que sus productos no puedan ser detectados y pasen desapercibidos tanto al usuario como a los programas antivirus.

Uno de los ejemplos modernos y ms fehacientes constituye la nueva versin del famoso RECYCLER, que ha infestado a cientos de miles de equipos y antivirus como el eficiente Kaspersky no reconoca al ejecutable como un virus, aunque se le sealara especficamente y pese a que este software es famoso por su motor heurstico.

Eso nos convence de que no hay sistema seguro y que no debemos confiarnos en lo absoluto de ningn sistema de seguridad automtico, en ocasiones la simple lgica de ver en un dispositivo USB un archivo oculto sospechoso, debe bastar para levantar la alerta.

Requisitos elementales para estar alerta de la existencia de programas malignos en el equipo.

Lgicamente existen requisitos elementales para estar alerta sobre cualquier modificacin realizada por el malware, esencial es tener activada la opcin de: "Ver las carpetas y archivos ocultos" y de: "Mostrar los archivos de sistema", las dos fcil de configurar en Opciones de carpeta.

Adems se debe monitorear regularmente los procesos abiertos ya sea en el Administrador de tares o usar para ello alguna aplicacin ms especfica y avanzada como Process Explorer y tambin Autoruns las cuales puedes descargar gratis en Sysinternals http://www.sysinternals.com/ sitio de Microsoft. Como detectar virus y malware que se inician con el sistema. Si tienes los conocimientos bsicos para la edicin del registro de Windows puedes revisar manualmente las siguientes entradas del mismo en busca de referencias a cdigos maliciosos que se inician con el sistema y eliminarlas manualmente, de esta forma tambin podrs descartar que tu sistema no pertenezca a ninguna red zombie. Todos los virus y otros malware crean entradas en las siguientes claves del registro para lograr iniciar con Windows, es ocasiones emplean nombres comunes a procesos de Windows para engaar a los antivirus, por lo que tendrs que conocer que programas o aplicaciones t has autorizado a iniciarse con el sistema y posteriormente revisar las claves cada cierto tiempo, al encontrar algo nuevo en ellas, verifica el archivo al que su valor seala y elimnalo si es sospechoso. Aunque un virus radique en tu sistema estar inerte si no logra iniciarse y no podr hacer ningn dao. Claves del registro que modifican los virus para iniciar con Windows.

Las claves del registro que modifican los virus para lograr iniciarse con Windows son las siguientes:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceSetup

Quitar los permisos a las claves del registro que modifican los virus.

Algunos administradores evitan la infeccin por malware modificando los permisos en dichas claves, en ese caso hacen imposible al virus escribir los valores necesarios para iniciarse con el sistema.

Se hace eliminando todos los usuarios de los permisos, excepto a SYSTEM. Para conocer como establecer los permisos para esa tarea lee la siguiente pgina:

Como administrar y cambiar permisos a carpetas y archivos en Windows

Otra forma de conocer programas o aplicaciones que inician con el sistema

Un mtodo sencillo de conocer todos los programas o aplicaciones que hayan modificado el sistema para iniciarse con Windows, es el siguiente.

Copia y pega la siguiente lnea de cdigo en el cuadro de Inicio o Ejecutar y oprime Enter:

CMD /K WMIC /Output:STDOUT STARTUP get /all /format:LIST | more

Abrir la pantalla de CMD y te mostrar cada uno de ellos con todos sus detalles. Utilizando de la misma forma el siguiente cdigo, crear un archivo de texto en tu escritorio con toda la informacin.

CMD /C WMIC /Output:STDOUT STARTUP get /all /format:LIST>%userprofile%Desktopinforme.txt

Detectar las conexiones salientes establecidas con el exterior.

No constituye ninguna histeria cada cierto tiempo chequear las conexiones que establece nuestro equipo al estar conectado a la red con el exterior y comprobar si existe alguna saliente donde est involucrada alguna aplicacin que no tenga motivos para establecer dicha conexin.

Al estar conectados a la red es muy comn que ciertas aplicaciones establezcan conexiones de forma autnoma y automtica con el exterior, ejemplo de ello son los antivirus, clientes de email, software en busca de su actualizacin, etc. Pero es totalmente anmalo que otras, sin motivo aparente establezcan una conexin con sitios web remotos desconocidos.

Un ejemplo de ello puede ser juegos que no se estn ejecutando en ese momento y que traten de conectarse con una direccin IP externa, esto sucede con alguna frecuencia en el caso de juegos gratis y se debe a que contienen spyware, dedicados al robo de logins o nombres de usuario y contraseas.

Si no utilizas tu equipo en transacciones o pagos financieros no te afectar relativamente, pero estas aplicaciones pueden abrir puertos que aprovechen otros programas malignos para introducirse en el equipo.

Con la herramienta NETSTAT, aplicacin que incluye Windows en la lnea de comandos, es fcil chequear estas conexiones e inclusive crear un pequeo registro.

Como usar NETSAT para revisar conexiones salientes establecidas.

Solo copia el siguiente cdigo en el cuadro de Inicio y oprime la tecla Enter, la ventana negra de la consola de cmd que se abrir minimzala y chequala cada cierto tiempo.

Los parmetros utilizados en este cdigo hacen que NETSTAT revise y se actualice cada 5 segundos. En caso de que exista una conexin, mostrar el nombre de la aplicacin que la establece, su PID (Identificador de proceso, nmero que identifica a un proceso mientras se ejecuta) y la direccin IP del sitio con el que se conecta.

cmd /k NETSTAT -ANOB -P TCP 04|FINDSTR /C:ESTABLISHED & ping -n 6 127.0.0.1>nul

Crear un registro de las conexiones salientes establecidas.

Si quieres crear un registro en un archivo de texto para revisar el resultado al cabo de un tempo, entonces utiliza el siguiente mtodo.

Copia y pega de la misma forma el siguiente cdigo en Inicio o Ejecutar y oprime Enter, se crear un archivo de texto en tu escritorio llamado: "Informe.txt", donde se irn registrando los datos (no cierres la ventana de la consola, solo minimzala).

CMD /K NETSTAT -ANOB -P TCP 04|FINDSTR /C:ESTABLISHED> %userprofile%DesktopInforme.txt

Si el proceso sospechoso est comprendido en svchost.exe, este aglutina varios procesos que solo pertenecen a Windows, por lo que no es probable que sea una aplicacin de terceros.

Para mas informacin Visiten nuestro sitio web www.scsintl.com