Bueno, rápidamente que he salido a las 7:45 a.m. de casa y he vuelto a las 22:45 p.m.
Creo que el sábado dejé el tema de los troyanos sin explicar la detección. Ya vistéis lo fácil que es crear uno con algo tan sencillo como el netcat.
NETSTAT
Hablo de Windows, por lo que lo diré un poco de memoria. Así a bote pronto lo primero un netstat -a. El comando tienen sus opciones. Échales un vistazo. Una de ellas muy útil y reduce mucho el tiempo de espera.
Netstat básicamente nos muestra las conexiones abiertas estén o no establecidas en ese momento. Utiliza el firewall de Windows para controlar los puertos o descargate el que prefieras de Internet.
TASKLIST
También podemos revisar el famoso Task manager o ¿gestor de tareas?
En lugar del bonito Window te recomiendo la opción por línea de comando y luego te digo por qué. El comando se llama tasklist.
También tiene opciones la mar de interesantes como /M para ver las DLL-s, /SVC para ver la descripción de los servicios, etc.
MSCONFIG
Muy importante, no olvidar. Se pueden configurar algunas cositas del sistema y se pueden ver y deshabilitar muchos procesos y servicios que están en el arranque. También se accede a archivos de configuración que ha podido toquetear el troyano de los huevos.
EL MALDITO REGISTRO
Si, ya sabemos que esto es un poco más delicado. Ya hemos visto la técnica que utiliza el troyano, el registry add o algo así. Espera, que hago un copia pega:
reg add HKcU\Software\Microsoft\Windows\CurrentVersion\Run
Bueno, pues que menos que abrir el registro e ir a HKEYLOCALMACHINE, SOFTWARE\MICROSOFT \WINDOWS\CURRENTVERSION y revisar las entradas que encuentres...
Se me han agotado las ideas, pero seguro que hay más cosas. A ver si mañana navego un poco y aumento la lista.
Lo importante, tener una versión de la configuración antes del troyano. No cuesta nada hacer un ficherito .bat con:
cmd
netstat -a > netstat.txt
tasklist /M > tasklist-m.txt
tasklist /SVC > tasklist-svc.txt
Hay muchas opciones para salvar el registro. Se puede por línea de comandos también. Podéis verlo en http://windowsxp.mvps.org/registry.htm
Por supuesto, siempre recomendable el punto de restauración de Windows. JeJe, consejos vendo pero para mi no tengo: nunca he creado un punto de esos.
Ante todo prudencia al eliminar y deshabilitar cosas. No viene mal una búsqueda por ahí. Hay un montón de sitios con descripciones de procesos, servicios, dll-s, etc.
Por cierto, esto del tasklist me ha recordado las pstools. ¿Recordais como hace unas semanas os recomendé el pskill de Russinovich? Pues formaba parte de las pstools.
Cometí un pequeño error. Puse el enlace a las pstools 1.12 cuando ya está disponible la versión 2.44 desde hace algún tiempo.
Cómo podéis ver en la página de las pstools, con este paquetito podéis ejecutar por línea de comandos:
- psExec
- psFile
- psGetSid
- psInfo
- psKill
- psList
- psLoggedOn
- psLogList
- psPasswd
- psService
- psShutdown
- psSuspend
- psUptime
De esta forma vuestro Windows parece más un Linux y tiene más potencia (posibilidades de ejecutar cosas de forma sencilla).
Saludos.
2 comentarios:
OJO con el registro y con sus utilidades (ccleaner y demás familia)
El netstat no te sirve para nada.
con el msconfig solo vas a variar los parámetros de inicio. ETC.
Y no has nombrado a la gran utilidad:
hijackthis
Un olvido imperdonable
Para eso están los comentarios, para corregir los olvidos ;-)
Publicar un comentario