Breve tutorial de análisis con la herramienta SysInspector de Eset.
Link: http://www.eset-la.com/support/sysinspector.php
Versión en Español;
ESET SysInspector 32-bit: http://download.eset.com/download/sysinspector/32/ESN/SysInspector.exe
ESET SysInspector 64-bit: http://download.eset.com/download/sysinspector/64/ESN/SysInspector.exe
Versión en Ingles;
ESET SysInspector 32-bit: http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe
ESET SysInspector 64-bit: http://download.eset.com/download/sysinspector/64/ENU/SysInspector.exe
ESET SysInspector es un software gratuito desarrollado por ESET que permite recolectar información crítica relacionada a determinadas
actividades que se realizan en un sistema operativo. Extrae todos los datos posibles, para poder tener un mayor control de que aplicaciones
están ejecutándose, el uso de librerías, quien las utiliza, conexiones de red y alguna cosilla más que iremos viendo sobre la marcha.
“ESET SysInspector está concebido como herramienta de análisis y no como herramienta
de desinfección o reparación de los daños ocasionados por códigos maliciosos u otras aplicaciones”
No necesita privilegios de Administrador para ser ejecutado, pero la cantidad y
detallle de información que suministre dependerá de los permisos que posea el usuario que lo ejecute.
Ejecutando ESET SysInspector : hay que aceptar el acuerdo de licencia…
• Interfaz principal:
El metodo de filtrado utilizado consiste en mostrar los procesos/datos asignando un color según su peligrosidad:
Verde: Aplicación conocida (fiable)
Naranja: Aplicación dudosa o con modificaciones en el archivo original (no por ello un virus)
Rojo: Vendría a ser un proceso no reconocido o peligroso (no por ello un virus).
En la ventana de la izquierda nos mostrará toda la información obtenida del sistema. Haremos un click sobre la descripción que queramos visualizar y en la ventana de la derecha podrás ver todo lo relacionado a ese proceso/archivo.
Arriba a la derecha tenemos un menú para administrar los log´s, filtrado por elementos, comparativas…
Para cualquier duda puedes consultar el archivo de “ayuda” incluido, accediendo al Menu/Ayuda (superior/derecha) o pulsando F1.
• Procesos en ejecución :
Todos los procesos que actualmente se ejecutan en tu Pc estarán aquí (algunos Rootkit pueden no aparecer…). Haremos un click sobre un proceso aleatorio o sospechoso y en la ventana de la derecha, abajo nos mostrará información sobre quien utiliza la aplicación, su PID (identificador de proceso), modo de ejecución (administrador, usuario…).
Haciendo doble click sobre el proceso, nos mostrará las dependencias del archivo (archivos de librerías utilizados y otros relacionados con él).
Es “muy importante” fijarse en los archivos que crean conexiones externas, como son: svchost.exe, lsaas.exe, al clickar sobre ellos, en la ventana de información nos mostrará las IP´s que utiliza en las conexiones y el estado (listen, established, etc). Estas IP´s tendrán que ser las normales de tu red (ejemplo: 127.0.01; 0.0.0.0).
Si utilizas maquinas virtuales se asignara una diferente (ejemplo: 10.02.0.14)
Sobre svchost.exe, hay que mencionar que puedes tener múltiples instancias en ejecución, pues cada uno sirve para una tarea diferente (actualizaciones, red…), pero nunca con diferente nombre, es decir "svcchost.exe", "svhost.exe" pues esto te indicaría la presencia de un “troyano” o similar.
• Conexiones de red :
En éste apartado podremos observar que programas crean una conexión, divididas por el protocolo utilizado (TCP/UDP). Dependiendo de los programas utilizados mostrará más o menos conexiones, pero para una pc normal de casa, sólo tendrían que haber las conexiones utilizadas por el sistema operativo ( System, lsaas.exe, svchost.exe y alg.exe), suponiendo que el navegador y todo programa que se conecte a internet estén cerrados. Las IP´s contenidas en ésta categoría tendrían que ser las normales utilizadas en tu red, ( 0.0.0.0 , 127.0.0.1 ,192.168.x.x), ésta última puede variar en función de tu proveedor de internet (ISP).
Un dato importante sería el asociar cualquier proceso que corre en la máquina con su identificador (PID).
Para entenderlo mejor haremos lo siguiente : ve a <Inicio> y clicka en <Ejecutar>, en ésa ventana escribe cmd y pulsamos <Intro> para acceder a la consola de comandos.
Usaremos el comando netstat. Para dudas escribir “netstat ?”. Escribiremos “netstat –aon” (un espacio entre netstat y -aon) y pulsamos <Intro> para poder ver las conexiones activas. Nos encontramos ante cinco descripciones donde se nos muestra el protocolo que utiliza en la conexión, direcciones IP remota y local, el estado y el PID. Si tienes algún P2P conectado, mejor ciérralo pues te vas a volver loco con tanta conexión. Siempre tendrás alguna conexión en estado “Listening” (Escuchando), que son normalmente <svchost> y <lsaas> en los diferentes puertos utilizados (135; 443; 139;1025) . También mostrará las conexiones establecidas (Established) que son las que nos interesan, como son el navegador, el ftp y todo lo que se conecte a Internet:
Si algún proceso mostrado en Eset-SysInspector te resulta sospechoso, no tienes más que poner el nombre del proceso en “Google” (ejemplo: svchost.exe) y buscar información sobre el proceso. Hay páginas Web dedicadas a esto. Cuando Google te muestre los links referentes al proceso, busca que pertenezcan a los siguientes enlaces pues son bastante fiables:
http://www.alegsa.com.ar/index.php
http://www.processlibrary.com/es/
http://www.file.net/
• Entradas de registro importantes:
En este apartado se extraen algunas entradas del registro, sobre todo las relacionadas con:
- Programas de arranque junto al S.O
- Configuraciones del navegador
- Listado de drivers con asociación de archivo
- Algunas configuraciones del antivirus instalado
- Configuraciones de la red.
• Servicios:
Conexiones con dispositivos, instancias internas del S.O, etc.
Muestra la descripción del proceso, ruta en disco, modo de inicio, estado del dispositivo, descripción del servicio y nombre de la compañía/empresa.
Los servicios normales utilizados por el S.O y aquellas aplicaciones conocidas estarán marcadas en verde.
Hay que tener en cuenta que ciertos drivers/servicios pueden aparecer de color naranja o incluso rojo y no por ello quiere decir que el sistema esté infectado. En estos casos nos veremos obligados a buscar en google información sobre el nombre del proceso, carpeta de instalación y sobre todo si se trata de un servicio esencial del S.O, en este caso no se debería desactivar.
Para gestionar los servicios en Windows, haremos uso del comando “services.msc” en Inicio --> Ejecutar
Para desactivar algún servicio haremos click sobre el proceso y si da la opción desde el menú contextual, procederemos a “desactivar” el servicio. Se puede dar el caso de que no muestre la opción, entonces clickamos sobre “Propiedades” en ese mismo menú contextual, y ahora podremos elegir la opción de detener o incluso eliminarlo.
Es muy importante que verifiques que el servicio no lo ejecute ninguna aplicación de Windows o otros programas, es preferible informarse bien y luego realizar la acción.
• Controladores:
Aquí podremos ver todos los drivers/controladores de los dispositivos, ya estén en “ejecución” o “detenidos”.
• Archivos críticos:
En esta sección podremos ver tres apartados: <win.ini>, <system.ini> y el archivo de <hosts>. Los analizaremos por separado pues éstos son muy importantes para el buen funcionamiento del sistema. La carga de controladores, etc, que hacen los archivos <win.ini> y <System.ini> los podremos ver en la “Utilidad de configuración del sistema”. Para esto haremos click en “Inicio”, clickamos en “Ejecutar”, en la ventana nueva escribiremos msconfig y aceptamos. Ahora veremos una ventana como ésta :
<win.ini> : Este archivo es leído por Windows al iniciar el sistema. Contiene datos acerca del hardware instalado y el entorno actual utilizado (escritorio, etc). En el log de SysInspector tendrían que estar todas las entradas marcadas en verde, pues Eset las reconoce como verdaderas. Cualquier entrada en color rojo tendría que ser revisada y/o corregida.
<system.ini> : Este archivo también se carga al iniciar Windows y está directamente relacionado con <msconfig>. La tarea principal es la de mostrarle a Windows los archivos de los controladores instalados (drivers). En el log de Eset también tendrían que estar en verde todas las entradas.
<hosts> : Dependiendo del tipo de infección (en caso hipotético) este archivo será modificado para redireccionar y/o modificar todas las peticiones de tu navegador. En el log de Eset solo tendría que aparecer una línea con la dirección de tu red (normalmente 127.0.0.1) y marcada en verde. (dependerá también del tipo de red o redes configuradas, esto como administrador tendrás que averiguarlo por tu cuenta).
Dejo un ejemplo de un análisis en la computadora infectada de un amigo:
Esta es de una infección posterior:
Como podemos ver, aparte de la línea marcada en verde “127.0.0.1 localhost”, hay otras entradas que no son validas que son las marcadas en rojo. Ahora para comprobarlo manualmente abriremos el archivo de hosts en la siguiente ubicación: C:\WINDOWS\System32\drivers\etc, para abrirlo haz doble click y elige abrir con el bloc de notas. Veras un archivo de texto como éste:
• System Scheduler Tasks:
En esta sección se enumerarían las tareas programadas en el S.O. Si no tienes ninguna tarea cotidiana, aparecerá en blanco…
• Información del sistema:
• Detalles del archivo:
• Ejemplos:
Esto es un ejemplo de un análisis con entradas marcadas en color rojo (supuestamente sospechosas), pero no es por ninguna infección, al no estar reconocido en las bases de datos de Eset este es un servicio de dudosa procedencia y de ahí que lo filtre como peligroso.
En esta captura podemos observar varios procesos en ejecucuión que SysInspector toma como sospechosos.
Ahora tocaría buscar info sobre esos procesos para ver que aplicación se encarga de ejecutarlas. Estos procesos son de un SAI (Sistema de Alimentación Ininterrumpida). En el casillero de abajo/derecha podrás ver cierta información interesante sobre cada proceso, dependencias…
Creo no haber olvidado nada, en cualquier caso se ampliaría o modificaría
Reconocimiento - NoComercial (by-nc): Se permite la generación de obras derivadas siempre que no se haga un usocomercial. Tampoco se puede utilizar la obra original con finalidades comerciales.
Con la colaboración de Skapunky.
Un saludo.