Analizar librerías DLL agregadas a procesos en busca de malware.
 |
Es una práctica muy habitual en él malware utilizar procesos del sistema para esconder librerías DLL dañinas. Normalmente esta técnica es empleada por programas de spyware.
Para descubrir estas librerías DLL se puede utilizar la consola de comandos de Windows (cmd) y el comando “tasklist /m”, que muestra todas las librerías DLL cargadas por los procesos del sistema y con la página ProcessLibrary.com se puede obtener información sobre librerías DLL sospechosas.
Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las librerías perjudiciales. Esta herramienta escanea los procesos y marca las librerías peligrosas con colores: las peligrosas en rojo, las menos dañinas en naranja y las dudosas en amarillo.
En el caso de las marcadas en amarillo es necesario investigar si son dañinas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener información.
Esta herramienta está disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema.
Más información y descarga de SpyDLLRemover:
http://www.rootkitanalytics.com/tools/spy-dll-remover.php
ProcessLibrary.com (Ingles):
http://www.processlibrary.com/
Como averiguar los servicios que se esconden bajo el proceso Svchost.exe:
http://vtroger.blogspot.com/2009/06/como-averiguar-los-servicios-que-se.html
hols queria saber si este programa solo sirve para espias
por que mi compu creo que tiene virus pero mi antivirus no me los detecta quisiera saber si me podrias recomendar un antivirus que tambien tenga para anti espias
Hola
Esta herramienta detecta dll dañinas de todo tipo de malware (troyanos, virus ,spyware..) pero sobre todo de programas espías.
Como antivirus completo yo personalmente para un usuario domestico recomiendo Avast home que además es gratuito:
http://www.avast.com/esp/download-avast-home.html
Pero como refuerzo para programas espías Spybot-S&D es el mejor sin duda:
http://www.safer-networking.org/es/index.html
Y otra solución en caso de virus es utilizar Trinity Rescue Kit(TRK) una LiveCd que te permite usar cuatro motores antivirus a la vez: BitDefender Scanner, Grisoft AVG, F-prot y Clamav.
http://vtroger.blogspot.com/2008/06/livecd-ideal-para-eliminar-virus.html
Un saludo
@infovaria, te recomiendo usar Spy bot search&destroy
Muy buen articulo, gracias.
Hola Alvaro.
Hace tiempo que me voy pasando por tu blog ya que me interesa mucho la seguridad informatica, y mas temas de análisis de malware.
Solamente quería felicitarte por el blog ya que hay témas de los que yo también escribo y realmente hay pocos blogs que lo hagan.
Hola, información interesante acerca de los procesos informáticos son process-info.org.