Analizar librerías DLL agregadas a procesos en busca de malware.
Es una práctica muy habitual en él malware utilizar procesos del
sistema para esconder librerías DLL dañinas. Normalmente esta técnica
es empleada por programas de spyware.
Para descubrir estas librerías DLL se puede utilizar la consola de comandos de Windows (cmd) y el comando “tasklist /m”, que muestra todas las librerías DLL cargadas por los procesos del sistema y con la página ProcessLibrary.com se puede obtener información sobre librerías DLL sospechosas.
Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las librerías perjudiciales. Esta herramienta escanea los procesos y marca las librerías peligrosas con colores: las peligrosas en rojo, las menos dañinas en naranja y las dudosas en amarillo.
En el caso de las marcadas en amarillo es necesario investigar si son dañinas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener información.
Esta herramienta está disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema.
Más información y descarga de SpyDLLRemover:
http://www.rootkitanalytics.com/tools/spy-dll-remover.php
ProcessLibrary.com (Ingles):
http://www.processlibrary.com/
Como averiguar los servicios que se esconden bajo el proceso Svchost.exe:
http://vtroger.blogspot.com/2009/06/como-averiguar-los-servicios-que-se.html
Autor: Alvaro Paz
Fuente: Guru de la Informática
Para descubrir estas librerías DLL se puede utilizar la consola de comandos de Windows (cmd) y el comando “tasklist /m”, que muestra todas las librerías DLL cargadas por los procesos del sistema y con la página ProcessLibrary.com se puede obtener información sobre librerías DLL sospechosas.
Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las librerías perjudiciales. Esta herramienta escanea los procesos y marca las librerías peligrosas con colores: las peligrosas en rojo, las menos dañinas en naranja y las dudosas en amarillo.
En el caso de las marcadas en amarillo es necesario investigar si son dañinas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener información.
Esta herramienta está disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema.
Más información y descarga de SpyDLLRemover:
http://www.rootkitanalytics.com/tools/spy-dll-remover.php
ProcessLibrary.com (Ingles):
http://www.processlibrary.com/
Como averiguar los servicios que se esconden bajo el proceso Svchost.exe:
http://vtroger.blogspot.com/2009/06/como-averiguar-los-servicios-que-se.html
Autor: Alvaro Paz
Fuente: Guru de la Informática
Hola, información interesante acerca de los procesos informáticos son process-info.org. Michal
ResponderBorrar