¿Cómo puedo saber si mi ordenador es un Zombie?

aiz de la siguiente noticia, nuestro amigo y colaborador Dani Alonso ha escrito el siguiente post para ayudarnos a detectar si nuestro ordenador es un zombie o no.

Noticia: https://www.publico.es/ciencias/341402/espana-es-el-tercer-pais-del-mundo-con-mas-ordenadores-zombis

Muchos se conformarían con recomendarte un escaneo online de algún antivirus, pero por desgracia no es suficiente y lo primero que tenemos que hacer es echar un vistazo a los procesos para ver si lo que está en ejecución en nuestro PC es todo lo que creemos tener instalado.
Para ello vamos al Administrador de tareas de Windows con la combinación de teclas Ctrl+Alt+Supr, o incluso mejor vamos a utilizar una magnífica herramienta llamada Process Explorer (https://technet.microsoft.com/es-es/sysinternals/bb896653.aspx).

Vamos al menú "View", sección "select columns" y marcamos "Command line" para mostrarla. Con estas herramientas podemos ver todos los programas que están en ejecución y en qué directorio se encuentran.
También es muy muy interesante saber si hay algún programa que se intenta ocultar, para ello vamos a utilizar otra interesante herramienta llamada RootkitRevealer (https://technet.microsoft.com/es-es/sysinternals/bb897445.aspx), que detecta correctamente todos los rootkits persistentes publicados en www.rootkits.com.

Como ya sabéis, un zombie se produce por la infección de un malware "daemon" que requiere internet para poder ser controlada, así que una de las actividades principales de estos bichos está las conexiones. Así que vamos a comprobar si nuestro equipo se está conectando a sitios conocidos.
Si nos jugar con comandos, el que debemos utilizar es NETSTAT -B, que nos dirá de manera muy clara qué aplicaciones son los responsables de cada conexión activa. Si lo preferimos con interface gráfica, podemos utilizar TCPView (https://technet.microsoft.com/es-es/sysinternals/bb897437.aspx)

Ahora, sabiendo que los malware intentan arrancar junto al sistema, una de las comprobaciones que podríamos realizar es en el Registro de Windows, a través de regedit.exe. En concreto, estas claves son la clave Sonrisa

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup

Por último, pero no ello menos importante; si queremos garantizar que nuestro equipo esté lo más protegido posible, debemos asegurarnos de tener el equipo 100% actualizado, contar siempre con software legal, y un buen y actualizado antivirus, por ejemplo Microsoft Security Essentials! (que es gratis) Guiño

Un saludo,
Danie Alonso

Comments

  • Anonymous
    June 15, 2014
    no entiendo la ultima parte de esta clave son las caves kiere decir que si tengo eso,estoy infectado
  • Anonymous
    March 10, 2015
    Erre, no. Quiere decir que debes revisar cada una de las claves de registro ya que dentro de ellas encontraras los programas que se estan ejecutando junto con el arranque de tu Windows. Saludos.