lunes, septiembre 08, 2008

Windows, Cuidado con los troyanos






La primera norma elemental: Habilita el firewall que encontrarás en el panel de control. También es interesante que vayas a las opciones avanzadas, al registro de seguridad y habilites "Registrar paquetes perdidos" y "Registrar conexiones erroneas".

Hay un comando Windows que deberíamos utilizar a menudo.
Es el netstat. Tiene varias opciones como -a para ver tanto todas las conexiones y no sólo las establecidas en ese momento.
Otra opción interesante es la -o que muestra los procesos asociados a la conexión.

Por lo tanto el comando completo es netstat -a -o

Luego se trata de analizar si hay alguna conexión sospechosa.

Para ello podemos ejecutar tasklist /svc que nos va a mostrar los procesos y servicios asociados.

Si analizamos los procesos que corren en nuestra máquina puede que veamos varios con el nombre svchost.exe.

Cuidado, algunos troyanos utilizan un proceso llamado de forma parecida como scvhost.exe para engañarnos.

Bueno, este proceso se utiliza para lanzar servicios de la máquina por lo que es bastante habitual que se lance varias veces en el arranque del sistema operativo.

El comando que lanza los servicios tiene la siguiente forma:

c:\windows\system32\svchost.exe -k

Con el tasklist /svc estaremos viendo esos procesos svchost.exe junto con el servicio lanzado.

Saludos.

No hay comentarios: