La mayoría del malware emplea estrategias de Ingeniería Social aplicada sobre los archivos utilizando nombres similares a los que poseen los procesos legítimos del sistema, como por ejemplo “msss.exe“, “winlogOn.exe“, “scvhost.exe” o “lssas.exe“, precisamente para intentar pasar desapercibidos ante la vista de los usuarios.

Cuando hablamos de los procesos legítimos y nativos del sistema operativo abordamos algunos de los procesos más representativos de Windows y que normalmente solemos encontrar activos porque forman parte esencial del mismo. En esta segunda parte, continuamos explicando más procesos nativos y legítimos de estas plataformas:

• alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.
• lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32.
• explorer.exe: Representa al Explorador de Windows. Es la interfaz gráfica de la shell de Windows que posibilita la visualización de la barra de tareas, el administrador de archivos, el menú inicio y el escritorio del sistema. Se encuentra en la carpeta WINDOWS.
• ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.) . El mismo se encuentra alojado en la carpeta system32
• dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.

Los procesos expuestos representan algunos de los que comúnmente visualizamos en nuestro sistema a través del Administrador de tareas, y de los cuales habitualmente el malware intenta encubrirse para evitar ser detectados a simple vista, por lo que debemos chequearlos para tratar de identificar procesos maliciosos con nombres similares.

Por último, si bien es muy importante identificar cuáles son los proceso legítimos del sistema, bajo ningún punto de vista esto supone el remplazo de la protección provista por una herramienta de seguridad antivirus como ESET NOD32 sino que complementa el nivel de prevención a través del conocimiento.

Jorge

Actualización: Pulsar aquí para ver los post posteriores de la misma serie.

Categories: Educación, Tutoriales
2 Comments »

Un tema sumamente complicado es identificar procesos maliciosos que pudieran estar en ejecución en nuestro sistema; y quizás su complejidad radica en un factor con el mismo nivel de importancia, que es conocer qué procesos son legítimos y válidos del sistema, y nativos de Windows.

En consecuencia, vamos a conocer algunos de ellos, sobre todo los más representativos que comúnmente podemos encontrar en nuestro equipo junto a una breve explicación de su función principal:

• smss.exe: Acrónimo de Session Manager Subsystem, es el proceso encargado de manejar las sesiones de usuario en el sistema y se encuentra alojado en la carpeta system32 de Windows.
• csrss.exe: Acrónimo de Client Server Runtime SubSystem, es utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32. Se encuentra alojado en la carpeta system32 de Windows.
• winlogon.exe: Se refiere a Microsoft Windows Logon Process. Este proceso es utilizado por el sistema operativo durante la fase de autenticación y también se encuentra alojado en la carpeta system32 de Windows
• services.exe: Acrónimo de Services Control Manager; es el encargado de iniciar y detener los servicios del sistema operativo. Al igual que los anteriores, este programa se aloja en la carpeta system32.
• svchost.exe: Acrónimo de Microsoft Service Host Process. Se encarga de ejecutar todos aquellos servicio que se ejecutan a través de Librerías de Enlaces Dinámicos (DLL, Dynamic Link Library). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar. Se aloja en la carpeta system32 de Windows.

Aunque este tema parezca un tanto trivial, es muy importante conocer cuales son los procesos nativos de nuestro sistema operativo y cuáles no lo son, ya que este punto constituye una herramienta fundamental para detectar de manera temprana el accionar de códigos maliciosos.

Cabe aclarar que es normal ver estos procesos ya que forman parte esencial del sistema operativo, y además no significa que sean maliciosos.

Sin embargo, por esta misma condición, el malware suele enmascarase bajo nombres similares, bajo los mismos nombres o, incluso, inyectando código malicioso dentro del proceso válido. Por esta razón es sumamente importante la implementación de una solución de seguridad antivirus con capacidades de detección proactiva como ESET NOD32, ya que permite prevenir la infección.

En futuras entradas iremos abordando este tema exponiendo más información para que conozcan otros procesos legítimos (o no) del sistema operativo.

Jorge

Categories: Educación, Tutoriales
1 Comment »

En ESET creemos que todos los usuarios deben estar preparados al momento de necesitar realizar una limpieza de un equipo. Por lo general nuestros productos realizan estas tareas de forma completamente automática, pero existen casos en los que se requiere un procedimiento manual para poder eliminar las amenazas más complejas. Es por eso que aquí detallamos como realizar un análisis y desinfección de un equipo en modo seguro con ESET NOD32.

En primer lugar se debe iniciar el sistema en modo seguro. Para esto se debe reiniciar el sistema y al instante que comienza el booteo (carga del sistema inicial del equipo) deberá presionar la tecla F8 algunas veces hasta que se presente una serie de opciones como se muestra a continuación:

Se deberá seleccionar la opción “Modo seguro con funciones de red”. Para mas información sobre como ingresar en este modo por favor diríjase a este enlace para equipos con sistema operativos Windows XP o a este otro para Windows Vista.

Dicho modo de inicio, sólo carga los procesos fundamentales del sistema y evita que mucho malware actual se cargue o tome control del sistema.

Una vez finalizado el inicio del sistema, deberá dirigirse “Inicio / Programas / ESET / ESET NOD32 Antivirus / ESET NOD32 Antivirus” o a “Inicio / Programas / ESET / ESET Smart Security / ESET Smart Security” dependiendo de cual de los dos productos posea instalado.

Un mensaje del producto aparecerá en pantalla preguntándole si desea realizar un análisis de su sistema, al cual debe responder afirmativamente. Inmediatamente aparecerá una consola (una pantalla generalmente negra) en la cual se podrá visualizar un análisis completo de su sistema realizado por el producto de ESET, el cual desinfectara cualquier archivo que encuentre como dañino:

El tiempo de análisis dependerá de la cantidad de archivos en el sistema y de la capacidad de procesamiento del mismo. Una vez finalizado, la ventana se cerrará automáticamente y podrá reiniciar el sistema normalmente.

En caso de querer guardar un registro del análisis se deberá abrir una consola manualmente a través de línea de comandos. Para ello diríjase “Inicio/Ejecutar” y luego escriba:

cmd<ENTER>

Luego, ingrese a la carpeta del producto a través del siguiente comando:

CD\C:\Archivos de Programa\ESET\ESET NOD32 Antivirus (o ESET Smart Security dependiendo de su producto)

Y, finalmente Para lanzar el análisis escriba el siguiente comando:

ecls.exe /auto > log.txt

El archivo de registro quedará almacenado en log.txt y Ud. podrá visualizarlo posteriormente con cualquier editor de texto.

Con este sencillo procedimiento se estará analizando y limpiando el sistema en el modo seguro que Windows ofrece para casos como los de una posibles infección de malware.

Joaquín

Categories: Educación, Productos, Tutoriales
12 Comments »

ESET Linux Security es el conjunto de aplicaciones de seguridad de ESET para plataformas NIX* que cuenta con protección para servidores de archivos (ESET File Security), servidores de correo (ESET Mail Security) y Gateway (ESET Gateway Security).

Contrariamente a lo que se puede pensar, implementar ESET Linux Security es sumamente sencillo. Por otro lado, si bien el caudal de programas dañinos existentes para este entorno es mucho menor comparado con plataformas Windows, existen. Además, nos permite asegurar aquellos entornos que interactúen con nuestro Linux, por ejemplo en el caso se servidores de archivos implementados sobre estas plataformas y que almacenan archivos que posteriormente serán utilizados en Windows.

En principio, debemos descargar el archivo binario desde el sitio web de ESET correspondiente a la distribución que tengamos. Por ejemplo, para Plataformas basadas en Debian, el nombre del archivo es similar a esets.i386.deb.bin. En este caso, se realizará la instalación de ESET File Security sobre Ubuntu 8.10.

A través del comando sh creamos el paquete de instalación:

# sh esets.i386.deb.bin

Aparecerá el contrato de licencia, el cual debemos aceptar para luego proceder a la instalación del paquete:

# dpkg –i esets-3.0.10.i386.deb

A continuación debemos importar el archivo de licencia (.lic) que recibimos a través de correo electrónico al adquirir el producto.

# esets_lic –import EAV-xxxxxxxx.lic

En esta instancia, ya habremos instalado ESET File Security pero es necesario modificar las líneas correspondientes al nombre de usuario y contraseña, que se encuentran en el apartado ESETS Update options, para poder mantener las actualizaciones al día. Para ello, editamos el archivo de configuración llamado esets.cfg que se aloja en /etc/esets/:

Como se aprecia en la imagen, debemos “descomentar” las dos líneas e ingresar la información correspondiente. Una vez realizada  la modificación, es necesario reiniciar el demonio para que se establezcan los cambios realizados:

# /etc/init.d/esets_daemon restart

Por último, cada vez que queremos explorar alguna carpeta, solo debemos ejecutar en una terminal el módulo correspondiente a la exploración bajo demanda, seguido de la ruta de la carpeta a explorar:

# esets_scan /[RUTA_A_EXPLORAR]

Por ejemplo:

# esets_scan /home/esetlab/download

De esta forma, de manera sencilla habremos implementado ESET Linux Security en nuestro Linux y podremos mantener el entorno seguro.

Nota: Si bien en este caso el procedimiento se realizó sobre Ubuntu, el mismo puede ser llevado a cabo con cualquier otra distribución de la misma forma, incluso si la distribución estuviera basada en RedHat (paquetes RPM).

Jorge

Categories: Educación, Productos, Tutoriales
3 Comments »

Hace un tiempo hemos escrito un texto explicando de qué manera configurar el cliente de mensajería instantánea Windows Live Messenger, para que ESET NOD32 explore cada archivo que se descarga a través de él, bajo línea de comandos.

En ese entonces les contábamos que, en la configuración del cliente de mensajería, se debía agregar la siguiente línea:

“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe” –log-file=log.txt

Sin embargo, muchos de nuestros lectores se encontraron con algún problema al agregarla, sobre todo los que utilizan una versión antigua del MSN. Puntualmente, ESET NOD32 no respondía como era esperado.

Esta manera de escribir el comando no es errónea y es posible aplicarla en las configuraciones de cualquier aplicación que soporte esta característica. El problema, en cambio, se encuentra en la manera de aplicar el parámetro:

Tanto ESET NOD32 como ESET Smart Security soportan la exploración bajo línea de comando a través del programa ecls.exe que se encuentra en la carpeta de instalación de cada producto. Para pasar los parámetros necesarios a ecls.exe, es indiferente la utilización de los modificadores “-” (guión medio) o “/” (barra).

En cambio, esto no sucede con Windows Live Messenger, el cual no soporta el guión y, por ende, ESET NOD32 no realiza la acción esperada; siendo el modificador correcto para el MSN, la barra.

Entonces, la línea de texto que se debe ingresar en el cliente de mensajería instantánea es la siguiente (incluidas las comillas):

“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe” /log-file=log.txt

Espero que esto también les sea de mucha utilidad.

Jorge

Categories: Productos, Tutoriales
11 Comments »