Procesos del Windows que pueden esconder virus y malwares

 

Consideraciones de interés, para usuarios interesados en el Tema:

Que es un Proceso?¿

Un proceso es en si mismo, un programa que se está ejecutando en ese momento, por ejemplo, abres una aplicación, el ejecutable de la misma, pasará a ser un proceso, y aparecerá en la lista de procesos del Administrador de Procesos de Windows.
Puede haber procesos importantes, procesos que esconden virus, procesos sin mucha importancia…

El administrador de Tareas

En general cuando se nos congela algún programa o en general la computadora, lo primero que hacemos es iniciar una conocida aplicación llamada: Administrador de Tareasincluido en los sistemas operativos Microsoft Windows cuyo localización esta en C:WindowsSystem32taskmgr.exe, tiene la función de proporcionar información sobre los procesos y aplicaciones que en la computadora está ejecutando.

Para los que no lo conocen se puede acceder desde la combinación de teclas Ctrl + Mayús + Esc.>> Administrador de tareas.

El administrador de tareas se compone de varias pestañas. En cada una de las pestañas se puede observar una función diferente:

Aplicaciones:Permite ver en un lista de los programas ejecutados, que como modo usuario al seleccionar una de ella se puede: finalizar, minimizar, maximizar, traer al frente, etc.

Procesos:Permite visualizar los procesos que ejecuta el computador, quién lo ejecuta y el uso de la CPU y el uso de memoria. En nombre de imagen aparece el nombre del archivo ejecutable que esta siendo ejecutado; en nombre de usuario se establece si es el usuario quien activó el proceso (sólo los procesos ejecutados por el usuario pueden ser finalizados), si corresponde a una ejecución de red o una ejecución de sistema.

Rendimiento: se puede observar un gráfico correspondiente al uso de la CPU.

Red: en la pestaña de funciones de red se puede observar un gráfico que muestra el uso de la red
Usuarios: se puede ver qué usuarios tienen permisos en el sistema operativo
————————————————————————————————————————————————

Desde la pestañas de procesos se puede ver diversos procesos donde el malware y virus se esconde, que capaz nuestro antivirus y firewall no logro detectar.

svchost.exe:

 

Chequea el registro para poder armar la lista de servicios que necesita cargar. Se encuentra en System32, es un procesos de sistema y se ejecuta en múltiples instancias.
Muchas veces puede llegar a consumir el 100% del uso del CPU, esto mayormente se debe a problemas con las actualizaciones de Windows, o una sobresaturacion de las mismas a la hora de descagarlas.

Una de su soluciones seria crear un archivo desde bloc de notas que en general se encuentra en inicio>Todos los programas>Accesorios.
Guardaremos nuestro bloc de nota cambiando el .tex por .bat

Rem Re-register dlls
REGSVR32 WUAPI.DLL /s
REGSVR32 WUAUENG.DLL /s
REGSVR32 WUAUENG1.DLL /s
REGSVR32 ATL.DLL /s
REGSVR32 WUCLTUI.DLL /s
REGSVR32 WUPS.DLL /s
REGSVR32 WUPS2.DLL /s
REGSVR32 WUWEB.DLL /s
Rem Stop Services
net stop WuAuServ
taskkill /f /im wuauclt.exe
REm add other service here
Rem Delete SoftwareDistribution Folder
RMDIR C:windowsSoftwareDistribution /s/q
net start WuAuServ
Echo Look for any errors
echo To Reboot
Pause
shutdown -r -t 10

Abren el .bat y se reiniciara, esto solucionaría problemas con svchost (no funciona con win 7)

Otra solución es descargar esta actualizacion de Windows que corrige dicha falla.
http://www.microsoft.com/downloads/thankyou.aspx?familyId=2996b9b6-03ff-4636-861a-46b3eac7a305&displayLang=es
que funciona con el windows XP

Y esta es la solucion vencida

El primer paso es abrir el Administrador de Tareas para ver cuántos ficheros svchost.exe se encuentran en funcionamiento.

Después tenemos que posarnos sobre alguno de estos archivos, hacer click derecho y dirigirnos a la opción “Ir al servicio”.

El paso siguiente consiste en observar cuáles son los procesos (en la pestaña Servicios) que no se están utilizando en el momento o que no requieren de una activación permanente.

Una vez que hayan visto cuáles son los servicios menos necesarios del ordenador hay que ir a Inicio | Ejecutar y tipear el siguiente comando: “services.msc”

-En la ventana que se abra hay que observar los mismos procesos que vimos en la pestaña de Servicios del Administrador de Tareas. Después hay que hacer click derecho sobre los que deseamos desactivar y vamos a Propiedades.

 

En la ventana que se abra hay que desplegar el pequeño menú de opciones y seleccionar la opción Desactivado.

 

Finalmente sólo resta Aplicar y Aceptar los cambios realizados. Listo, los servicios innecesarios ya no consumirán recursos y se elevará el rendimiento del ordenador. 

Muchas veces este proceso no esta en su carpeta correspondiente o posee un nombre parecido con letras o letras; cambiadas, agregadas, quitadas esto seria algún malware, que se camufla para no ser reconocido.

Se lo puede encontrar con los siguientes nombres.
scvhost.exe Lo instala el virus W32/Agobot-S. Se trata de un gusano y troyano backdoor de IRC que se copia asi mismo aprovechando los recursos compartidos con passwords débiles. E intenta propagarse utilizando las vulnerabilidades del RPC Locator y DCOM RPC.

svchosts.exe Lo instala el virus Sdbot-N. Es un troyano backdoor que permite a un usuario remoto controlar nuestra máquina a través del IRC. Se ejecuta en background, y trata de conectarse a un canal específico de un servidor de IRC y luego queda a la escucha de ciertos comandos para llevar a cabo sus correspondientes acciones.

svshost.exe Lo instala el virus Worm.P2P.Spybot.gen

Wmpnetwk.exe y wmpnscfg.exe
Estos archivos provienen del Windows Media Player Network Sharing Service, es un ejecutable que se conecta a la red, en cual su ubicación se encuentra en: C:Archivos de programaWindows Media Player
En condiciones normales, este proceso no debería ocupar más de 0% de CPU y no más de 700 KB de RAM.
Para solucionar esto se debería bloquearlo
acceda a services.msc una manera de encontrarlo seria ir inicio y poner en búsqueda el nombre del archivo. Una vez abierto el programa se busca el procesos Media Player Network Sharing Service, hagan clic derecho y presionen Stop.

 

Tomará algún tiempo en parar el servicio. Una vez hecho, hagan clic derecho de nuevo y seleccionen propiedades. Cambien el tiempo de inicio a Manual y reinicien el equipo.

 

Una vez que la computadora es reiniciada, regresen a propiedades de nuevo y cambien el tipo de inicio a automático y listo!.

mms.exe
Este archivo y proceso de Windows, administra las consolas de servicios, es un proceso esencial cuando se emplean algunas herramientas del sistema.
Suele ubicarse en:
C:WINDOWSsystem32mmc.exe

A veces se lo halla en C:Windowsmmc.exe o en otro directorio, es un virus.

Rundll32.exe
Es un proceso del sistema en donde corre las DLLs y pone sus bibliotecas en memoria, para que puedan ser utilizada más eficientemente por las aplicaciones. Rundll32.exe, permite invocar una función exportada de una DLL de 16 o de 32 bits.
Muchas veces este proceso es cambiado por archivos plagados de troyanos.
Su solucion es instalarlo nuevamente usted puede buscarlo en el cd de instalación o descargándolo de:

http://www.p-nand-q.com/download/rundll32.html

cmd.exe
Este es un proceso del sistema que vendría a ser la consola de comandos (de hecho cmd es por “command”. y debe encontrarse en C:WINDOWSsystem32cmd.exe
Si usted puede ver que este procesos ocupa mas 50% de los recursos de su Pc . Segurtamente este infectado con algún troyano in detectable que no puede captar norton una de las opciones sería actualizar el sistema desde la pagina de windowsupdate o escanea en linea con antivirus como mcafee o panda. si es posible, restaura el sistema a un punto en el que no tuvieras ese problema.

Javaw.exe
El javaw.exe es un proceso por Sun Microsystems que da funcionalidad a este Internet Protocol. A menudo trabajos junto con Internet Explorer. Este programa es un proceso no esencial del sistema. Deriva de la aplicacion Java
Muchas veces ocupa hasta el 100% del CPU.
Seria mejor instalar la version 6.17 si tienes alguna otra.
en Windows7 la version 6.20 genera problemas, por lo que la mas estable es la 6.17
dllhost.exe

En general es un troyano que se mantiene activo, normalmente se aloja en la carpeta system32 de Windows, y si vas a eliminar el archivo .exe, el vuelve y se autocrea, igualmente si lo eliminas de la lista de procesos tambien vuelve y aparece.
En general se encuentran procesos que se llaman dlllhost.exe

winlogon.exe
Es un proceso de Windows que tiene como responsabilidad la administración de lo que tiene que ver con el inicio de sesión de los usuarios así como los perfiles y algunas veces del cierre de sesión. Es de suma importancia, no podemos terminarlo, porque sino, el funcionamiento que tendrá el sistema será bastante inestable, y pues obviamente, eso es lo que se quiere evitar.
algunos virus / malwares, utilizan el nombre de winlogon.exe (o similares) para infectar tu computadora de virus. Existen pruebas de que los virus W32.Netsky.D / Backdoor-CFB, se esconden con este nombre para pasar desapercibidos.

wlcomm.exe
El wlcomm.exe es parte de Live Messenger. Pero los problemas surgen cuando empieza a utilizar gran parte del cpu y congela la computadora de una manera muy consecutiva, para su solución;

* Desinstalar cualquier agregado al Live Messenger, como el MSN Plus! o cualquier otro programa para agregar íconos y similares.
* Probar desinstalar el Live Messenger desde Agregar y quitar programas, volverlo a instalar.
* Si tiene un firewall o algún antivirus con firewall, se debe poner en la “lista de excluidos” (es decir, la lista de programas que no deben tenerse en cuenta) el archivo wlcomm.exe

Wininit.exe

El proceso y archivo wininit.exe, es parte de Windows Vista. Se encarga de cargar servicios básicos de este sistema operativo: el administrador de servicios, el subsistema LSA y el administrador de sesiones locales.

Suele ubicarse en:
C:WindowsSystem32wininit.exe

Existen múltiples programas malignos que emplean el nombre de archivo wininit.exe, entre ellos Win32/VB.FW, VB.FW, W32.Solow, W32/Archiles.worm, W32/Generic.worm.h, W32/SillyFD-AA, W32/Sillyworm.WR, W32/Sillyworm.WR, W32/VB.FW!worm, W32/VB.UT.worm, W32/VBWorm.NFE, Win32.Worm.VB.CQ, Win32/VB.FW, Worm.VB.akc, Worm.Win32.VB.fw, Worm/VB.AZI, Worm/VB.CQ.2, WORM_VB.CNG, WOLLF.16 TROJAN.

Generalmente este archivo es un virus, cuando se lista como programa a iniciarse con Windows, en la lista que se muestra en la solapa Inicio, de la herramienta msconfig (Inicio – Ejecutar – escribir: msconfig).

El nombre del proceso que se inicia con Windows puede ser Microsoft Update 32 – wininit.exe, pero no tiene relación con Windows, es sólo para despistar.

KMservice.exe
Muchas veces pasando el antivirus nos aparece que es un archivo infectado pero esto es falso no es el malware (virus , adware, spyware) es un activador pirata para Office 2010.

lsass.exe

Se trata de un proceso que permite el correcto funcionamiento de todos los protocolos de seguridad del sistema operativo Windows, pero como la mayoría de los programas que desarrolla Microsoft este tiene una vulnerabilidad que fue aprovechada para ser contaminado por el virus W32/Sasser.A.

¿Qué es el virus W32/Sasser.A?

Se trata de un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver “MS04-011 Actualización crítica de Windows (835732)”, http://www.vsantivirus.com/vulms04-011.htm). Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

Básicamente una vez que está infectado lsass.exe es como si tu PC tuviera la puerta abierta para ser controlada este es un problema más que nada de los equipos que usan Windows pirata o que simplemente no está actualizado.

¿Cómo se si mi proceso está infectado?

Bueno este virus se propaga igual por USB asi que básicamente si tienes “ver archivos ocultos” y ven que en una memoria USB existe un archivo autorun y lsass.exe quiere decir que tienes el virus, en algunos equipos más vulnerables esos se reinician cada 60 segundos lo que hace un infierno de virus.
Lo q se debe hacer es; primero, verificar que la ruta del proceso sea la carpeta Windows/System32; la segunda es que el nombre sea exactamente lsass.exe y lass.exe, Isass.exe, etc., que son nombres que camuflajean el verdadero proceso.

 Fuente

Comentario:
Hemos creido que podía interesar esta información, y por ello la ofrecemos a nuestros usuarios.

saludos

ms, 1-12-2010