ESET SysInspector
Enero 16, 2008 2:23 pmEn post anteriores como “Cuando quedan rastros del malware”, “Conociendo lo que hay en nuestro sistema”, “Identificando procesos maliciosos en sistemas Windows”, etc., hemos mencionado algunas maneras sencillas de comprobar la integridad de nuestro sistema de archivos y de verificar la existencia de malware a través de herramientas nativas de los sistemas operativos Windows.
Ahora bien, existe una nueva herramienta de análisis gratuita desarrollada por ESET llamada ESET SysInspector. Esta herramienta se encuentra en su fase beta y nos permite recolectar información sobre cada uno de esos procesos investigativos sobre nuestro sistema operativo, también de manera sencilla y ordenada.
Veamos algunos ejemplos sobre cómo utilizar esta herramienta de manera tal que nos permita saber qué esta sucediendo en el sistema operativo y obtener información sobre cada uno de los procesos críticos.
Partamos del hipotético caso de que hemos sido víctimas de dos códigos maliciosos; por un lado, simulando ser el icono del navegador Internet Explorer, el troyano Spy Banker orientado al robo de información bancaria; y por otro, el troyano Qhost que modifica la información del archivo Hosts para realizar Pharming Local.
Ejecutamos entonces ESET SysInspector y, como un buen detective, nos revela una gran cantidad de información detallada relacionada con los procesos activos, claves puntuales del registro que generalmente son manipuladas por el malware, servicios, conexiones de red, archivos críticos, etcétera.
Procesos maliciosos
Podemos verificar la existencia de procesos maliciosos recolectando información de dónde se encuentra alojado, qué librerías dinámicas utiliza y un resumen de Hash en SHA1 que nos puede servir, por ejemplo, para comparar archivos. Similar a lo explicado en “Identificando procesos maliciosos en sistemas Windows”.
Conexiones de red
La mayoría del malware actual suele, una vez activado, intentar descargar otros códigos maliciosos, o en algunos casos incorporan un servidor SMTP utilizado, por ejemplo, para enviar spam aprovechando la conexión DSL. Este comportamiento es digno de sospecha.
Manipulación del registro
Otra de las actividades típicas del malware actual es manipular determinadas claves del registro que permitan levantar el proceso malicioso cada vez que el sistema operativo es iniciado. ESET SysInspector también nos advierte de esta actividad. En “Cuando quedan rastros del malware” pueden encontrar información más detallada sobre las claves que habitualmente suele manipular el malware actual.
Archivos críticos
El pharming local es una técnica orientada al robo de información confidencial que consiste en desviar el direccionamiento a nivel local, esto se logra a través del archivo Host; ESET SysInspector nos brinda información particular sobre este archivo. De esta manera podemos verificar a simple vista si fue modificado o no.
Esta utilidad es muy importante ya que muchos códigos maliciosos orientados a realizar ataques de phishing suelen modificar la información que contiene este archivo.
Poder explorar cada sector de nuestro sistema en busca de información crítica es muy importante a la hora de chequear lo que realmente está sucediendo en nuestra computadora, y ESET Sysinspector nos ayuda a solventarlo desde una única pantalla, sin necesidad de instalar el software en el equipo y manteniendo la eficacia que caracteriza a los productos de ESET.
Jorge
Promedio: 5
1-10-2009 a las 7:50 pm
[...] unos días, en el post ESET SysInspector, les mostramos de qué se trata esta herramienta y cómo utilizarla para verificar la existencia de [...]
8-6-2009 a las 3:10 pm
Hola!!! este programa para quienes tengan ciertos conocimientos en windows XP sirve de mucho a la hora de ayudarnos a comprobar nuestro sistema. Gracias!!!
1-4-2009 a las 1:06 pm
[...] con ESET SysInspector en el [...]
15-3-2009 a las 8:42 pm
[...] con ESET SysInspector en el [...]
11-3-2009 a las 11:55 am
[...] con ESET SysInspector en el [...]
10-2-2009 a las 8:20 pm
Hola Alejandro:
ESET SysInspector no fue desarrollado para solucionar problemas sino para facilitar el análisis técnico del equipo y poder obtener información útil para su futura desinfección a través de los productos de ESET. Además, es una herramienta invalorable al momento de analizar la posible aparición de un nuevo malware.
Cristian
10-2-2009 a las 8:15 pm
Ola buenas.
Yo he usado muchas veces esta herramienta nueva de eset.
Lo que pasa es que no entiendo aun muy bien cual es el objetivo principal del software.
Ademas, de que modo se pueden arreglar los problemas que te muestra?, porque en mi opinion tocar el registro de windows es bastante arriesgado.
La verdad es que creo que el sysinspector debería poder arreglar automaticamente todos aquellos problemas que encuentre.
Gracias
22-1-2009 a las 11:41 pm
Hola Manuel:
Debes identificar los archivos ya que ESET SysInspector fue creado para ello. Cualquier puedes ponerte en contacto con tu Distribuidor de ESET NOD32.
Cristian
22-1-2009 a las 12:36 am
ok pero como envio las muestras si no se cual es el archivo sospechoso envie uno pero dice que no es nada peligroso entonces como verifico cual es la ubicacion de tales archivos sospechosos o en que pagina se encuentra la manera adecuada de configurar en antivirus por mi parte estoy usando en ESET Smart Security 4 beta pense que tal ves los detectaria pero nada no los detecta agradesco tu respuesta de antemano.
21-1-2009 a las 12:17 pm
Hola Manuel, te recomiendo que verifiques la configuración de ESET NOD32. Lo más probable es que no tengas tildad la casilla de verificación de alguno de los métodos de exploración.
De todas formas, en la siguiente página encontraras información sobre el sencillo procedimiento para el envío de muestras a nuestro Laboratorio.
Saludos.
Jorge
20-1-2009 a las 9:07 pm
Felicito a Eset por la nueva Herramienta que nos proveen a los usuario, pero tengo una consulta para ustedes a la hora de utilizar ESET SysInspector en Running Processes aparece process y me aparece ” Rootkit ” PID 1260 pero a la hora de analizar con el antivirus no detecta nada de nada como hago para que el antivirus lo elimine o no se eliminarlo manualmente, gracias por si respuesta
10-5-2008 a las 10:42 am
[...] analizar el comportamiento de los equipos informáticos. A continuación les dejo una excelente explicación de Jorge sobre esta herramienta. Para los interesados en saber más sobre ESET SysInpector pueden descargar [...]
10-5-2008 a las 10:41 am
[...] analizar el comportamiento de los equipos informáticos. A continuación les dejo una excelente explicación de Jorge sobre esta herramienta. Para los interesados en saber más sobre ESET SysInpector pueden descargar [...]
9-5-2008 a las 6:34 pm
[...] analizar el comportamiento de los equipos informáticos. A continuación les dejo una excelente explicación de Jorge sobre esta [...]
21-1-2008 a las 9:09 am
[...] nuestro blog de laboratorio está pública una explicación completa sobre el funcionamiento de esta nueva herramienta [...]