Reconocimiento y descripcion de procesos ocultos en windows xp

Solo disponible en BuenasTareas
  • Páginas : 31 (7636 palabras )
  • Descarga(s) : 0
  • Publicado : 31 de agosto de 2010
Leer documento completo
Vista previa del texto
svhost.EXE:

Svchost.exe es un proceso que al iniciarse, comprueba la parte de servicios del registro para elaborar la lista de los que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos en función de cómo y cuándo se inició Svchost.exe.
ElUso de memoria puede llegar a ocupar hasta unos 60MB y puede aparecer muchas veces en la lista de procesos según cuantos servicios estén activos. En lo referente al cpu, el uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, pero éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU en forma constante, a menos que en tu sistema se esté ejecutando algunaaplicación de red crítica que signifique el uso de todos estos recursos en todo momento. Si no es así, sospecha de que estas siendo atacado externamente por algún código maligno o malware, que aprovecha la vulnerabilidad ofrecida por el proceso.
Para comprender un poco la vulnerabilidad a que se hace referencia, pensemos que SVCHOST.exe no solo es el responsable de cargar varios servicios, sino quetambién abre numerosos puertos de conexión a nuestro sistema por medio de los cuales pueden ingresar estas amenazas. Los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intención. Pero es claro que los ataques externos en contra de esos puertos no se pueden descartar.
Si experimentas problemas de lentitud y notas que el proceso SVCHOST.exe está consumiendo recursos deCPU de forma excesiva y sin control, es muy probable que estés siendo objeto de ataques mediante la vulnerabilidad aludida.
Como consecuencia de esta vulnerabilidad, pueden aparecer infinidad de malwares que la aprovechan para insertarse en tu sistema, entre ellos el que normalmente se conoce como msblaster o alguna mutación.....

usnsvc.exe:

Messenger Sharing USN Journal Reader Serviceusnsvc.exe es el Messenger Sharing USN Journal Reader Service de Microsoft perteneciente al MSN Messenger.
usnsvc.exe se encarga de la herramienta de compartir carpetas y la sincronización.

spoolsv.exe

spoolsv.exe es un poroceso que pertenece a Windows y que se encarga de compartir los procesos de impresión de las impresoras locales a través de una red de área local. ATENCIÓN: spoolsv.exetambién es el nombre con el que se camufla el virus troyano Backdoor.Ciadoor.B. Si el proceso en cuestión se encuentra dentro del directorio System32 se trata del proceso inofensivo de Windows, si por el contrario se encuentra en cualquier otra localización (incluyendo el directori raiz de Windows) sería el virus. Este virus troyano permite el acceso a su equipo a usuarios malintencionados poniendoen peligro la seguridad de sus datos y de su sistema en general. Se trata de un proceso categorizado como de riesgo que debe ser eliminado del sistema inmediatamente. Cierre el proceso y bloquéelo para evitar futuras ejecuciones. A continuación actualice las definiciones de su software antivirus y antiespías y escanee el sistema pare eliminar la amenaza.
spoolsv.exe es un proceso que estaregistrado como Servicio de cola de Impresión de Windows. Este tipo de ficheros, que terminan convirtiendose normalmente en spyware o virus cuando aterrizan en nuestro PC en muchas ocasiones se diferencian del fichero original que no es una amenaza, porque se localizan en otros directorios y presentan una firma digital diferente. Por eso es necesario para determinar si se trata de la amenaza o no,realizar un analisis con la herramienta de deteccion.

lsass.exe:

Bueno primero que nada el proceso Lsass.exe (Local Security Authority Service) es un proceso legitimo de Windows, el cual controla varias tareas criticas de seguridad.

Por ende si lo tenes funcionando es normal,

AHORA si ves que consume muchos recursos o se te esta reseteando la maquina o si haces una búsqueda en tu Windows se...
tracking img