Como saber si tu sistema Windows se encuentra infectado

Existen varios métodos para determinar si tu sistema Windows se encuentra infectado por algún malware o si es parte de alguna red zombie infectada, estos métodos no necesitan la instalación de software adicionales ni tampoco garantizan la eliminación de la amenaza, solo te servirán para determinar si tu PC se encuentra comprometida.




Revisar los elementos de inicio/servicios y procesos mediante WMIC : 

WMIC significa windows management instrumentation command-line, es una herramienta de administración para Windows que permite no solo obtener información sino realizar acciones.

Para ver aplicaciones que se ejecutan al inicio bastará con ejecutar el comando 

wmic startup list full



Como podemos ver aquí están todas las aplicaciones que se ejecutan cuando iniciamos el sistema, simplemente debemos identificar alguna ubicada en algún directorio desconocido o no habitual y analizarla 

WMIC es una herramienta muy potente podemos usarla para ver procesos y servicios desconocidos corriendo en nuestro sistema operativo


Procesos : wmic process list full | more
Tambien puedes usar :

wmic process get description,processid,parentprocessid,commandline /format:csv 
Servicios : wmic service list full | more
También puedes usar :
wmic service get name,processid,startmode,state,status,pathname /format:csv 




WMIC y los Jobs : 

Con éste es menos probable encontrar algo porque la mayor parte del malware no utiliza jobs, pero algunos como MPlug lo hacen, y una vez más es bastante fácil de comprobar. Simplemente ejecuta 

wmic job list full

Probablemente recibas una respuesta del tipo 'Instance(s) Available' lo que significa que no hay tareas programadas.


Cache DNS : 

Ahora si escribes

ipconfig /displaydns
Se mostrarán los dominios que se han resuelto recientemente. Si ves algo extraño es recomendable buscar el nombre de dominio y la IP en VirusTotal o similar para determinar si es malicioso.





Netstat : 

Esta herramienta nos permitirá determinar que conexiones de red se están realizando desde nuestra PC, es todo un mundo, pero muy útil a la hora de determinar si somos parte de una botnet

Los parámetros netstat son:

-a Muestra todas las conexiones y puertos a la escucha.
-b Muestra el ejecutable implicado en la creación de cada conexión o puerto de escucha.
-n Muestra las direcciones y los números de puerto en forma numérica.
-o Muestra el ID de proceso propietario asociado a cada conexión.




Existen algunos otros métodos que podemos usar, pero eso lo explicare en una 2° Parte




No comments

Powered by Blogger.