Hace unos "días" prometí continuar con el tema de las aplicaciones (procesos) en Windows, tema que parece una tontera pero que puede llegar a ayudarnos a detectar "intrusos" en nuestro sistema y, por ende, a mejorar el rendimiento y el aprovechamiento de todos los recursos (que siempre son escasos y limitados) al eliminarlos.
Hasta aquí hemos visto un listado de procesos o aplicaciones "malignas" que, de ser detectadas, deben ser interrumpidas o eliminadas lo antes posible. En esa lista (larga por cierto) solo figuran servicios (de Windows XP o Vista) de alto riesgo, si hubiéramos incluido los de posible riesgo la lista (obviamente) hubiera crecido un poco más. La lista segura, de aquellos procesos o servicios que no incluyen ningún riesgo es igualmente larga y calculo que puede ser leída (por internet) desde otro sitio, no tiene sentido colgarla aquí.
Por otro lado, lo que yo quería postear hoy era, por una parte la pequeña lista se procesos exclusivos de Windows Vista (lista segura) y otra hacer unas aclaraciones sobre los cuatro procesos seguros (y fundamentales) que enumeré (csrss.exe; lsass.exe; svchost.exe y explorer.exe). Ustedes se preguntarán ¿son seguros? La respuesta es muy simple, en su "estado original" son, además de seguros, imprescindibles (ya explicamos el por qué), pero es por eso que suelen ser el blanco de muchos virus y otras amenazas ya que pueden ser infectados y, peor aún, imitados.
Una técnica muy común y muy efectiva (para un montón de cosas) es el Baile de Letras, que en el caso de nombres algo complicados, aprovechan esta dificultad para "esconderse" y confundirse entre los procesos legítimos. Un ejemplo:
El ejecutable csrss.exe (el original) y el csrrs.exe (el infectado - el imitador) podrían pasar (ambos) inadvertidos para un usuario que busca en la interminable lista de procesos, alguno "enfermo".
Otra forma de "engañar" es aprovechando la brecha se seguridad que produce la similitud, por no decir igualdad, entre el número uno (1), la letra ele minúscula (l) y la letra i mayúscula (I), por lo que muchas veces 1=l=I. La tipografía que utiliza Windows para mostrar el listado de procesos casi no distingue entre esas tres opciones (letras o números) por lo que si leemos 1sass, lsass o Isass no podremos ver la diferencia.
Finalmente, otro de los trucos usados, es agregar espacios en blanco. La diferencia entre svchost.exe (original), " svchost.exe" y "svchost .exe" es también imperceptible a los ojos en ese listado de procesos. Por eso, mucho cuidado al buscar procesos malignos porque muchas veces estarán camuflados de procesos legítimos y no podremos verlos.
Hasta aquí hemos visto un listado de procesos o aplicaciones "malignas" que, de ser detectadas, deben ser interrumpidas o eliminadas lo antes posible. En esa lista (larga por cierto) solo figuran servicios (de Windows XP o Vista) de alto riesgo, si hubiéramos incluido los de posible riesgo la lista (obviamente) hubiera crecido un poco más. La lista segura, de aquellos procesos o servicios que no incluyen ningún riesgo es igualmente larga y calculo que puede ser leída (por internet) desde otro sitio, no tiene sentido colgarla aquí.
Por otro lado, lo que yo quería postear hoy era, por una parte la pequeña lista se procesos exclusivos de Windows Vista (lista segura) y otra hacer unas aclaraciones sobre los cuatro procesos seguros (y fundamentales) que enumeré (csrss.exe; lsass.exe; svchost.exe y explorer.exe). Ustedes se preguntarán ¿son seguros? La respuesta es muy simple, en su "estado original" son, además de seguros, imprescindibles (ya explicamos el por qué), pero es por eso que suelen ser el blanco de muchos virus y otras amenazas ya que pueden ser infectados y, peor aún, imitados.
Una técnica muy común y muy efectiva (para un montón de cosas) es el Baile de Letras, que en el caso de nombres algo complicados, aprovechan esta dificultad para "esconderse" y confundirse entre los procesos legítimos. Un ejemplo:
El ejecutable csrss.exe (el original) y el csrrs.exe (el infectado - el imitador) podrían pasar (ambos) inadvertidos para un usuario que busca en la interminable lista de procesos, alguno "enfermo".
Otra forma de "engañar" es aprovechando la brecha se seguridad que produce la similitud, por no decir igualdad, entre el número uno (1), la letra ele minúscula (l) y la letra i mayúscula (I), por lo que muchas veces 1=l=I. La tipografía que utiliza Windows para mostrar el listado de procesos casi no distingue entre esas tres opciones (letras o números) por lo que si leemos 1sass, lsass o Isass no podremos ver la diferencia.
Finalmente, otro de los trucos usados, es agregar espacios en blanco. La diferencia entre svchost.exe (original), " svchost.exe" y "svchost .exe" es también imperceptible a los ojos en ese listado de procesos. Por eso, mucho cuidado al buscar procesos malignos porque muchas veces estarán camuflados de procesos legítimos y no podremos verlos.
Aquí va un pequeño listado (lista blanca) de procesos exclusivos de Windows Vista:
audiodg.exe Para que funcione la tarjeta de sonido.
dwm.exe POSIBLE RIESGO Desktop Windows Manager se ocupa de los efectos 3D de Vista. Si el archivo no se encuentra en la carpeta C:/Windows/System32/ puede ser un virus.
FXSSVX.exe Para el fax y scanner de Vista.
LogonUI.exe Para el registro del Usuario y para accesos remotos.
MSASCui.exe Componente de Windows Vista Defender.
sdclt.exe Forma parte de la protección de datos de Vista.
SearchIndexer.exe Componente de la función de búsqueda.
Sidebar.exe La barra lateral.
splwow64.exe Función solo en Windows Vista 64bits.
taskeng.exe Para cargar gran parte de las tareas programadas.
VSSvc.exe Interviene en la seguridad de Windows Vista.
wercon.exe Graba los fallos de Vista y los envía a Microsoft.
wmdc.exe Windows Mobile Device Center sincroniza los datos entre dos dispositivos.
wpcumi.exe Función de protección de contenidos según la edad.
WUDFHost.exe Sin él no funcionan otras diversas funciones.
No hay comentarios.:
Publicar un comentario