jueves, marzo 17, 2011

Conoce tus procesos con Process Explorer 14.1

Muchas veces me hacen la difícil pregunta de cómo saber si tienes un malware instalado en tu máquina y he de decir que me ponen en un brete. No es fácil hoy en día detectar que tienes un malware si éste es de los "pata negra". Por supuesto,hay mecanismos para detectar que tienes mucho tipo de malware, así que siempre acabo contestando cosas bastante evidentes ante esa pregunta para no meterme en un jardín del que me sea después complicado escapar.

Sin embargo, yo también me hago muchas veces esa pregunta como usuario de una máquina, e intento respondérmela lo mejor que puedo. Para ello suelo seguir muchos de los consejos de Mark Russinovich, que tras años de solucionar los problemas de la computadora de su esprosa, sacó muchos buenos trucos mirando los autoruns, los accesos a ficheros o inspeccionando los procesos cargados en el equipo.

Yo de vez en cuando suelo revisar todos los procesos y ver las propiedades, donde compruebo cosas evidentes como la ruta desde la que se cargó la imagen del proceso o una interesante utilidad de verificación de la firma digital del fichero que está cargado en memoria en este momento

Para ello, basta con abrir Process Explorer, que fue actualizado a la versión 14.1 el mismo día el pasado martes, e ir seleccionando aquellos procesos que tengan más cara de sospechoso. Yo suelo tirar por todos los que tienen "algo raruno" o me parecen nuevos desde el último análisis. Eso puede ser mismamente porque el nombre llame la atención, tenga un alto consumo de CPU en un instante de tiempo o alguna característica distinta, como no tener activados DEP o ASLR en los tiempos que corren, como en este ejemplo con el proceso de Gtalk de Google.


Figura 1: Procesos vistos con Process Explorer

Con Process Explorer clicando sobre el proceso con el botón derecho puedes acceder a las propieades y ver todo esto, la ruta desde la que se cargó, el usuario con que está corriendo en la máquina, puedes directamente buscar este nombre de archivo en Internet para sacar más información o verificar la firma del mismo.


Figura 2: Propiedades del proceso de Google Talk

Algunos como este Gtalk me tiene extrañado, porque el proceso viene sin firmar o no se puede verificar la firma, así que lo desinstalé, lo volví a descargar, lo volví a instalar y nada, no se puede verificar la firma.


Figura 3: No se puede verificar la firma

Sin embargo, cuando te descargas el instalador, éste sí viene firmado, pero luego el ejecutable no está firmado, lo que hace que sea un buen candidato a ser reemplazado por un ejecutable troyanizado.

En otros, directamente con Process Explorer obtienes la comprobación de la firma de la imagen verificada, como en este caso con Secunia.


Figura 4: Proceso de Secunia verificado

A día de hoy el malware ha evolucionado mucho, tanto que llegan a meter malware en los drivers firmados de terceros, tal y como sucedió hace poco con un troyano que descubrió el equipo de ESET en las actualizaciones de un driver de Microsoft, pero revisar periódicamente y conocer los procesos de tu equipo es una buena idea. Es tu equipo, son tus procesos, así que intenta conocerlo como la palma de tu mano.

Saludos Malignos!

9 comentarios:

asdsdadasdsadasdas dijo...

Hola Chema, si vas a 'File / Show details for all process' te hace una verificación automatica de la firma en todos los procesos sin necesidad de hacerlo manualmente, y en cada una de las DLL's que estos procesos han cargado. Si encima le añades la columna 'verifier signer' puedes ver desde el panel principal si los procesos y sus dlls estan firmados o no

Madrikeka dijo...

Yo llevo usando el proecess explorer ya un par de añitos!! y mezclada con el autoruns, si sabes manejarlos bien...adios malware!!

Si luego lo mezclas con rootkit revealer...y con gmer!! ya si que no me para nadie....

bueno..alguno peleón!!

la verdad que me gustan mucho!!
así que probaré la nueva versión!!

Un saludo.

QaSaR dijo...

mmmmh... en cuanto a las firmas de los procesos, podria ser que:

http://www.blackploit.com/2011/03/paper-indetectando-malwares-cercando.html

fuera una forma de esconder esa firma, o SOLO es para el antivirus?
Se puede falsificar esa firma? Aprovechando que gtalk no verifica, ya que troyanizas el ejecutable, aprovechas para "falsear" la verificacion, se que puede sonar estupido, pero si antes de ayer no sabias que gtalk no se verifica, si lo veo verificado no me llamara la atencion al contrario! viene de Mr.Google, esos seguro k lo hacen bien... no? Mmmmh...

Q.

Chema Alonso dijo...

@TheSur, mola!! gracce!

Chema Alonso dijo...

@TheSur, me has ahorrado un tiempo en cada revisión... si es que... gracias!

ramandi dijo...

Chema, esta vez te has ganado un tirón de orejas, porque el tip de TheSur sale en más de uno de los vídeos de Russinovich que has recomendado en el blog };-).

Un abrazo!!

Chema Alonso dijo...

@ramandi, sí, luego me acordé, pero como uno está mayor, las cosas que no repasa se le olvidan.... cierto total. Me apunto un -1.

}:(

Unknown dijo...

Hola, acao de instalar la versión 14.1 pero no encuentro la opción "File / Show details for all process"...

La encontré en "Options / Verify Image Signatures"

¿porqué esta diferenciación?

Anónimo dijo...

No encuentro la opción bajo Process Explorer. Con autoruns: Options, Filter Options, Verify code signatures, Rescan (http://blogs.technet.com/b/markrussinovich/archive/2013/01/07/3543763.aspx)

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares