¿Cómo saber si tu PC es zombie?

Publicado: noviembre 6, 2007 en Articulos

Con estos tres sencillos consejos, podremos en general, obtener indicios suficientes para sospechar si estamos o no contaminados y si nuestro equipo está comprometido, pudiendo pertenecer a una red Zombie.

  • Primero: Ver si todo lo que está en ejecución en nuestro ordenador es todo lo que creemos tener instalado.

Para ello, podemos utilizar software de inspección de procesos como el propio administrador de tareas que aparece al pulsar Ctr+Alt+Sup o un programa mejor como el ProcessXP indicando en el menú de View, sección “select columns” que queremos ver cual es el “command line” de los procesos. Traducido, ver cada programa que está en ejecución en qué directorio se encuentra. También es interesante saber si algún programa se intenta ocultar y para ello podemos usar, también de Sysinternal, el Rootkit revealer.

  • Segundo: Ver si nuestro PC está conectado a Internet a los sitios correctos que estamos utilizando.

Existen diferentes programas para averiguar esta información aunque solo nombraré varias alternativas:
– La más sencilla es utilizar el comando NETSTAT con el parámetro -B que indica cada conexión que programa la está utilizando. En esta url hay más información sobre cómo usar este parámetro.
– Otra opción es usar la aplicación de Foundstone Fport
– Si somos de interfaces gráficas, la gente de Sysinternal en su momento también creo la herramienta TcpView con estos propósitos.

  • Tercero: Revisar si nuestro ordenador tiene instalado malware utilizando los scanner online que ya se ofrecen.

Para eso, podemos hacer una serie de comprobaciones básicas de las claves de registro que suele utilizar el malware a traves de REGEDIT.EXE. En concreto, las claves de registro a mirar son:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
También disponemos de las Webs que analizan nuestro equipo en remoto para investigar si detectan algún tipo de software extraño como:
Safety.live.com de Microsoft.
Panda ActiveScan with TruPrevent®

comentarios
  1. […] de una sola fuente (como podemos ver en el gráfico de abajo) En realidad estas fuentes son PC Zombies conectados a internet que tienen un malware instalado llamado botnet, que se usan para enviar spam a […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s