Uso de ejecuciones automáticas para hacer frente a los procesos de inicio y el malware

La mayoría de los geeks tienen su herramienta preferida para lidiar con los procesos que se inician automáticamente, ya sea MS Config, CCleaner o incluso Task Manager en Windows 8, pero ninguno de ellos es tan poderoso como Autoruns, que también es nuestra lección de Geek School para hoy.

En los viejos tiempos, el software se iniciaba automáticamente agregando una entrada a la carpeta Inicio en el menú Inicio, o agregando un valor a la clave Ejecutar en el registro, pero a medida que las personas y el software se volvían más inteligentes para encontrar entradas no deseadas y eliminarlas, los creadores de software cuestionable comenzaron a encontrar formas de ser cada vez más astutos.

Estas sombrías compañías de crapware comenzaron a descubrir cómo cargar automáticamente su software a través de objetos auxiliares del navegador, servicios, controladores, tareas programadas e incluso a través de algunas técnicas extremadamente avanzadas como secuestros de imágenes y AppInit_dlls.

Verificar cada una de estas condiciones manualmente no solo llevaría mucho tiempo, sino que sería casi imposible de hacer para la persona promedio.

Ahí es donde entra Autoruns y salva el día. Claro, puede usar Process Explorer para mirar a través de la lista de procesos y profundizar en los subprocesos y identificadores, y Process Monitor puede averiguar exactamente qué claves de registro se están abriendo por qué proceso y mostrarle cantidades increíbles de información. Pero ninguno de los dos impide que el crapware o el malware se carguen nuevamente la próxima vez que inicie su PC.

Por supuesto, una estrategia inteligente sería usar los tres juntos. Process Explorer ve lo que se está ejecutando actualmente y agotando su CPU y memoria, Process Monitor ve lo que la aplicación está haciendo bajo el capó y luego autoruns entra para limpiar las cosas para que no regresen.

Autoruns le permite ver casi todas las cosas que se cargan automáticamente en su computadora y deshabilitarlas tan fácilmente como hacer clic en una casilla de verificación. Es increíblemente fácil de usar y casi se explica por sí mismo, excepto por algunas de las cosas realmente complicadas que necesita saber para comprender lo que realmente significan algunas de las pestañas. Eso es lo que esta lección va a enseñar.

Trabajar con la interfaz de ejecuciones automáticas

Puede obtener la herramienta Autoruns desde el Sitio web de SysInternals al igual que todo el resto y ejecutarlo sin instalarlo. Querrás hacerlo antes de continuar.

Nota: Autoruns no requiere ejecutarse como administrador, pero siendo realistas, tiene más sentido simplemente hacer eso, ya que hay algunas características que no funcionarán tan bien de lo contrario, y hay una buena posibilidad de que su malware también se ejecute como administrador.

Cuando inicie la interfaz por primera vez, verá un tonelada de pestañas y una lista de cosas que se inician automáticamente en su computadora. La pestaña predeterminada Todo muestra todo de cada pestaña, pero puede ser un poco confusa y larga, por lo que le recomendamos que revise cada pestaña por separado.

Vale la pena señalar que, de forma predeterminada, Autoruns oculta todo lo que está integrado en Windows y configurado para iniciarse automáticamente. Puede habilitar la presentación de esos elementos en las opciones, pero no lo recomendaríamos.

Desactivación de elementos

Para deshabilitar cualquier elemento de la lista, puede quitar la casilla de verificación. Eso es todo lo que tiene que hacer, simplemente revise la lista y elimine todo lo que no necesita, reinicie su computadora y luego vuelva a ejecutarla para asegurarse de que todo esté bien.

Nota: algunos malware monitorearán constantemente las ubicaciones desde donde activan el inicio automático e inmediatamente devolverán el valor. Puede usar la tecla F5 para volver a escanear y ver si alguna de las entradas regresó después de deshabilitarlas. Si uno de ellos apareció de nuevo, debe usar Process Explorer para suspender o matar ese malware antes de deshabilitarlo aquí.

Los colores

Como la mayoría de las herramientas de SysInternals, los elementos de la lista pueden ser de diferentes colores, y esto es lo que significan:

  • Rosado – esto significa que no se encontró información del editor, o si la verificación del código está activada, significa que la firma digital no existe o no coincide, o que no hay información del editor.
  • Verde – este color se utiliza cuando se compara con un conjunto anterior de datos de ejecuciones automáticas para indicar un elemento que no estaba allí la última vez.
  • Amarillo – la entrada de inicio está ahí, pero el archivo o trabajo al que apunta ya no existe.

Además, al igual que la mayoría de las herramientas de SysInternals, puede hacer clic con el botón derecho en cualquier entrada y realizar una serie de acciones, incluido saltar a la entrada o imagen (el archivo real en el Explorador). Puede buscar en línea el nombre del proceso o los datos de la columna, ver las propiedades detalladas o ver si esa entrada se está ejecutando haciendo una búsqueda rápida a través de Process Explorer, aunque muchos procesos tienen un cargador que luego inicia otra cosa antes de salir, por lo que el hecho de que esa característica no muestre resultados no significa nada.

Si hizo clic en Saltar a la entrada, se le llevará directamente al Editor del Registro, donde podrá ver esa clave del Registro en particular y mirar a su alrededor. Si la entrada era otra cosa, es posible que lo lleven a una utilidad diferente, como el Programador de tareas. La realidad es que la mayoría de las veces, Autoruns muestra toda la misma información directamente en la interfaz, por lo que generalmente no necesita molestarse a menos que desee obtener más información.

El menú Usuario le permite analizar una cuenta de usuario diferente, lo que puede ser realmente útil si ha cargado Ejecuciones automáticas en una cuenta diferente en la misma computadora. Vale la pena señalar que obviamente necesitaría ejecutarse como administrador para ver otras cuentas de usuario en la PC.

Verificación de firmas de código

El elemento de menú Opciones de filtro lo lleva a un panel de opciones donde puede seleccionar una opción muy útil: Verificar firmas de código. Esto verificará para asegurarse de que cada firma digital sea analizada y verificada, y mostrará los resultados directamente en la ventana. Notarás que todos los elementos en rosa en la captura de pantalla a continuación no están verificados o que la información del editor no existe.

Y para obtener crédito adicional, es posible que note que esta captura de pantalla a continuación es casi la misma que la que está cerca del principio, excepto que algunos de los elementos de la lista no estaban marcados como rosa. La diferencia es que, de forma predeterminada, sin la opción Verificar firmas de código activada, las ejecuciones automáticas solo le avisarán con la fila rosa si no existe información del editor.

Analizar un sistema fuera de línea (como al conectar un disco duro a otra PC)

Imagina que la computadora de tu amigo está completamente desordenada y no arranca o simplemente arranca tan lentamente que realmente no puedes usarla. Ha probado el modo seguro y las opciones de recuperación como Restaurar sistema, pero no importa porque es inutilizable.

En lugar de tirar de la tarjeta de “reinstalación”, que a menudo es solo la tarjeta de “Me doy por vencido”, puede sacar el disco duro y conectarlo a su PC o computadora portátil con su práctica base de disco duro USB. Tienes uno, ¿verdad? Luego, simplemente cargue las ejecuciones automáticas y vaya a Archivo -> Analizar sistema sin conexión.

Busque el directorio de Windows en el otro disco duro y el perfil de usuario del usuario que está intentando diagnosticar y haga clic en Aceptar para comenzar.

Necesitará acceso de escritura a la unidad, por supuesto, porque querrá guardar la configuración para eliminar cualquier tontería que termine encontrando.

Comparación con otro PC (o instalación limpia anterior)

La opción Archivo -> Comparar parece anodina, pero puede ser una de las formas más poderosas de analizar una PC y ver lo que se ha agregado desde la última vez que escaneó, o de comparar con una PC limpia conocida.

Para usar esta función, simplemente cargue las ejecuciones automáticas en la PC que está intentando inspeccionar, o use el modo sin conexión que describimos anteriormente, luego diríjase a Archivo -> Comparar. Todo lo que se ha agregado desde la versión de archivo comparada aparecerá en verde brillante. Es tan simple como eso. Para guardar una nueva versión, debe usar la opción Archivo -> Guardar.

Si realmente desea ser un profesional, puede guardar una configuración limpia de una nueva instalación de Windows y ponerla en una unidad flash para llevarla con usted. Guarde una nueva versión cada vez que toque una PC por primera vez para asegurarse de que puede identificar rápidamente todo el nuevo crapware que el propietario ha agregado.

Te puede ser útil:  10 consejos de limpieza de primavera para su PC con Windows

Mirando las pestañas

Como has visto hasta ahora, Autoruns es una utilidad muy simple pero poderosa que probablemente podría ser utilizada por casi cualquier persona. Quiero decir, todo lo que tienes que hacer es desmarcar una casilla, ¿verdad? Sin embargo, es útil tener más información sobre lo que significan todas estas pestañas, por lo que intentaremos educarlo aquí.

Inicio de sesión

Esta pestaña comprueba todas las ubicaciones “normales” en Windows para que las cosas se carguen automáticamente, incluidas las teclas Run y RunOnce del Registro, el menú Inicio … y un lote de otros lugares. Como resultado, hay 43 lugares “normales” diferentes en los que el software puede insertarse para iniciarse automáticamente al iniciar sesión o cerrar sesión. ¡No es de extrañar que haya problemas tan grandes de malware, crapware y spyware en Windows!

Nuestro consejo: desmarque generosamente todo lo que no necesita. Siempre puede volver a habilitarlo si lo desea.

Explorador

Esta pestaña enumera todos los componentes adicionales que se pueden cargar en el Explorador de Windows. Como no teníamos ninguno para ilustrar en nuestro sistema de prueba, no le mostraremos una captura de pantalla, pero estos serán en gran medida complementos de menú contextual y otras cosas por el estilo.

Si está experimentando una perf lentaomance al navegar por archivos, usando el menú contextual, o simplemente por todo Windows, este es un probable culpable. Puede deshabilitar cualquier cosa que desee aquí, aunque puede perder alguna funcionalidad para ciertas aplicaciones.

Internet Explorer

Esta pestaña es inmensamente útil cuando se trabaja en las computadoras de otras personas, ya que es mucho más probable que usen Internet Explorer que nuestros lectores. Esta pestaña enumera todas las extensiones del navegador, barras de herramientas y objetos auxiliares del navegador que generalmente utiliza el malware para espiarlo o mostrarle anuncios. Recomendamos desmarcar casi todas las cosas que veas.

Tareas programadas

Esta es una de las formas más complicadas en que el malware se esconde en estos días. En lugar de esconderse usando cualquiera de los lugares que la gente sabe buscar, el malware crea una tarea programada para reinstalarse, mostrar anuncios o hacer todo tipo de cosas nefastas. El problema se ve agravado por lo confuso que puede ser el Programador de tareas, por lo que la mayoría de las personas nunca sabrían mirar aquí. Afortunadamente, Autoruns hace que este sea fácil.

Recomendamos eliminar casi todo lo que no reconoce y definitivamente no es de Microsoft. Este es un ejemplo en el que el uso de la opción Verificar firmas de código es realmente útil.

Servicios

Después de las tareas, uno de los lugares más comunes e insidiosos en los que el malware se esconde en estos días es registrando un Servicio en Windows, o en algunos casos, creando un servicio que ayude a asegurarse de que los otros procesos de malware todavía se estén ejecutando.

Querrás ser un poco más cuidadoso al deshabilitar cosas en esta pestaña, ya que algunas cosas pueden ser legítimas y necesarias. En la captura de pantalla a continuación, verá algunos servicios de Google, Microsoft y Mozilla que están bien. Si bien no sería un gran problema si los deshabilitamos, aún vale la pena hacer una investigación adicional antes de deshabilitar las cosas, a menos que ya lo haya identificado como crapware o malware.

Controladores

Lo creas o no, pero algunos fabricantes de crapware y malware en realidad han creado controladores de dispositivos que contenían malware o componentes muy incompletos que te espían. Después de que nuestra máquina de prueba se infectó con un montón de crapware, notamos que este controlador apareció conectado a uno de ellos. Todavía no estamos muy seguros de lo que hace, pero dado cómo llegó allí, probablemente no sea nada bueno.

Definitivamente querrás ser mucho más cuidado en esta pantalla. Deshabilitar los controladores incorrectos puede romper su computadora, así que investigue, haga clic derecho en cada uno de ellos y busque en línea, y solo deshabilite algo si lo más probable es que esté vinculado a spyware. En el siguiente ejemplo, ya habíamos identificado la carpeta en la Ruta de la imagen para la fila resaltada como crapware, por lo que era lógico deshabilitarla.

Codecs

Estas son bibliotecas de código que se utilizan para manejar la reproducción de medios para videos o audio, y desafortunadamente han sido abusadas por malware como una forma de iniciarse automáticamente en la computadora. Puede deshabilitarlos aquí si es necesario.

Ejecución de arranque

Este probablemente no tendrá que lidiar, pero se usa para cosas que se inician durante el arranque del sistema, como cuando programa una verificación del disco duro para que ocurra en el momento del arranque, ya que no puede suceder mientras Windows está realmente cargado.

Secuestro de imágenes

Si lees nuestra segunda lección sobre Process Explorer, habrás aprendido que puedes reemplazar el Administrador de tareas con Process Explorer, pero probablemente no tenías idea de cómo sucede esto realmente, y mucho menos que el malware puede y usa la misma técnica para secuestrar aplicaciones en tu computadora.

Puede establecer una serie de configuraciones en el registro que controlan cómo se cargan las cosas, incluido el secuestro de todos los ejecutables y su ejecución a través de otro proceso, o incluso la asignación de un “depurador” a cualquier ejecutable, incluso si esa aplicación no es un depurador.

Esencialmente, puede asignar valores en el registro para que si intenta cargar el bloc de notas.exe, se cargue calc.exe en su lugar. O cualquier aplicación puede ser intercambiada y reemplazada por otra aplicación. Esta es una de las formas en que el malware le impide cargar MalwareBytes u otras herramientas antimalware.

Puede verlo usted mismo: en el lado izquierdo está el nombre del ejecutable, y en el lado derecho, la tecla “Depurador” está establecida en la instancia de Process Explorer que se ejecuta en mi escritorio. Pero puedes cambiar eso a lo que quieras en cualquier lado y funcionará. Probablemente sería una gran broma que casi nadie sería capaz de entender.

Si ve algo en la pestaña Secuestros de imágenes que no sean los valores de Process Explorer, debe deshabilitarlos inmediatamente.

AppInit

En otro ejemplo más de por qué Windows tiene tanto crapware y spyware, el AppInit_dlls entradas en el registro son sorprendentes y sorprendentes. En algún momento, Microsoft escribió una característica en Windows que carga todos los archivos DLL enumerados en una clave de registro en particular … en cada proceso que comienza.

Bueno, técnicamente, cada vez que una aplicación carga la biblioteca de usuario de Windows32.dll, comprueba el valor de la clave del registro y luego carga cualquiera de las DLL que se encuentran en la lista en el proceso, lo que permite que cada aplicación sea secuestrada por malware.

En Windows Vista y versiones posteriores, finalmente decidieron bloquear esto un poco al requerir que las DLL estuvieran firmadas digitalmente … a menos que la clave RequireSignedAppInit_DLLs esté establecida en 0, lo que hace que Windows siga cargándolas de todos modos. Como puedes imaginar, el malware se ha aprovechado de esto, como puedes ver en el siguiente ejemplo.

¿Recuerdas en la lección 3 cuando te mostramos cómo Conduit estaba secuestrando e insertando sus archivos DLL en los procesos de tu navegador? Así es como se hizo. Puede ver el spvc64loader.dll en la captura de pantalla anterior, que luego se usó para cargar el archivo SPVC64.dll en el navegador.

Mal.

DLLs conocidos

Esta clave se asegura de que Windows utiliza una versión concreta de un archivo DLL. En su mayor parte, no tendrá que preocuparse por ello a menos que el malware se haya metido con esta lista: el objetivo principal de usar esta pestaña es solo asegurarse de que todo lo que aparece allí sea realmente un componente de Windows verificado, lo cual es bastante fácil.

Winlogon, Proveedores Winsock, Monitores de impresión, Proveedores LSA, Proveedores de red

Por lo general, no debería tener que preocuparse por estas pestañas, ya que simplemente contienen complementos que extienden varios aspectos de Windows: Winlogon y LSA aprovechan el sistema de inicio de sesión y autenticación, Winsock y Network manejan las redes, y los monitores de impresión son aplicaciones de terceros que se ocupan de su impresora.

Si tiene valores en estas pestañas, vale la pena investigar antes de deshabilitarlos. Ciertamente es posible que el malware secuestre estas cosas.

Gadgets de la barra lateral

Si tiene algún gadget de barra lateral en Vista o Windows 7, lo verá aquí y puede deshabilitarlo si lo desea.

Siguiente Lección

Eso es todo para Autoruns, pero estad atentos mañana cuando le enseñemos sobre Bginfo y la visualización de la información del sistema en su escritorio.

¿Qué tan útil te resultó el artículo?

¡Haz click en una estrella para valorar!

Valoración media / 5. Votos totales:

¡No hay votos hasta ahora! Sé el primero en valorar este artículo.

Utilizamos cookies para personalizar el contenido y los anuncios, para ofrecer funciones de redes sociales y para analizar nuestro tráfico. También compartimos información sobre su uso de nuestro sitio con nuestros socios de redes sociales, publicidad y análisis. View more
Cookies settings
Aceptar
Política de privacidad y cookies
Privacy & Cookies policy
Cookie name Active
El presente Política de Privacidad establece los términos en que Alternativa.click usa y protege la información que es proporcionada por sus usuarios al momento de utilizar su sitio web. Esta compañía está comprometida con la seguridad de los datos de sus usuarios. Cuando le pedimos llenar los campos de información personal con la cual usted pueda ser identificado, lo hacemos asegurando que sólo se empleará de acuerdo con los términos de este documento. Sin embargo esta Política de Privacidad puede cambiar con el tiempo o ser actualizada por lo que le recomendamos y enfatizamos revisar continuamente esta página para asegurarse que está de acuerdo con dichos cambios.

Información que es recogida

Nuestro sitio web podrá recoger información personal por ejemplo: Nombre,  información de contacto como  su dirección de correo electrónica e información demográfica. Así mismo cuando sea necesario podrá ser requerida información específica para procesar algún pedido o realizar una entrega o facturación.

Uso de la información recogida

Nuestro sitio web emplea la información con el fin de proporcionar el mejor servicio posible, particularmente para mantener un registro de usuarios, de pedidos en caso que aplique, y mejorar nuestros productos y servicios.  Es posible que sean enviados correos electrónicos periódicamente a través de nuestro sitio con ofertas especiales, nuevos productos y otra información publicitaria que consideremos relevante para usted o que pueda brindarle algún beneficio, estos correos electrónicos serán enviados a la dirección que usted proporcione y podrán ser cancelados en cualquier momento. Alternativa.click está altamente comprometido para cumplir con el compromiso de mantener su información segura. Usamos los sistemas más avanzados y los actualizamos constantemente para asegurarnos que no exista ningún acceso no autorizado.

Cookies

Una cookie se refiere a un fichero que es enviado con la finalidad de solicitar permiso para almacenarse en su ordenador, al aceptar dicho fichero se crea y la cookie sirve entonces para tener información respecto al tráfico web, y también facilita las futuras visitas a una web recurrente. Otra función que tienen las cookies es que con ellas las web pueden reconocerte individualmente y por tanto brindarte el mejor servicio personalizado de su web. Nuestro sitio web emplea las cookies para poder identificar las páginas que son visitadas y su frecuencia. Esta información es empleada únicamente para análisis estadístico y después la información se elimina de forma permanente. Usted puede eliminar las cookies en cualquier momento desde su ordenador. Sin embargo las cookies ayudan a proporcionar un mejor servicio de los sitios web, estás no dan acceso a información de su ordenador ni de usted, a menos de que usted así lo quiera y la proporcione directamente. Usted puede aceptar o negar el uso de cookies, sin embargo la mayoría de navegadores aceptan cookies automáticamente pues sirve para tener un mejor servicio web. También usted puede cambiar la configuración de su ordenador para declinar las cookies. Si se declinan es posible que no pueda utilizar algunos de nuestros servicios.

Enlaces a Terceros

Este sitio web pudiera contener en laces a otros sitios que pudieran ser de su interés. Una vez que usted de clic en estos enlaces y abandone nuestra página, ya no tenemos control sobre al sitio al que es redirigido y por lo tanto no somos responsables de los términos o privacidad ni de la protección de sus datos en esos otros sitios terceros. Dichos sitios están sujetos a sus propias políticas de privacidad por lo cual es recomendable que los consulte para confirmar que usted está de acuerdo con estas. Control de su información personal En cualquier momento usted puede restringir la recopilación o el uso de la información personal que es proporcionada a nuestro sitio web.  Cada vez que se le solicite rellenar un formulario, como el de alta de usuario, puede marcar o desmarcar la opción de recibir información por correo electrónico.  En caso de que haya marcado la opción de recibir nuestro boletín o publicidad usted puede cancelarla en cualquier momento. Esta compañía no venderá, cederá ni distribuirá la información personal que es recopilada sin su consentimiento, salvo que sea requerido por un juez con un orden judicial. Alternativa.click Se reserva el derecho de cambiar los términos de la presente Política de Privacidad en cualquier momento.
Save settings
Cookies settings