Professional Documents
Culture Documents
SYSINTERNALS V.1
SENA
Prestacin, Integracin e Interoperabilidad de
Servicios de Tecnologas de Informacin y
Comunicaciones
DOCUMENTO/ARCHIVO
Ttulo: Manual Herramientas Sysinternals v1
Nombre Archivo: Manual Herramientas Sysinternals v1
Fecha: 09/07/2015
Versin: 1
REGISTRO DE CAMBIOS
Versin
1
Pginas
6
Fecha Modificacin
09/07/2015
PREPARADO
REVISADO
APROBADO
AUTORIZADO
Nombre
Edgar Godoy
Roberto Aristizabal
Julian
Collazos
Cargo
Especialista
Seguridad
Coord.
Seguridad Gerente Proyecto
Informacin
Andres
Firma
CONTENIDO
1. INTRODUCCIN .................................................................................................. 3
1.1.
Objetivo.....................................................................................................................3
1.2.
Alcance .....................................................................................................................3
1.3.
Requerimientos de Instalacin................................................................................4
1.
INTRODUCCIN
1.1. Objetivo
Documentar el uso de herramienta (Autoruns) de Sysinternals, como complemento para diagnosticar la
presencia de procesos normales y con sospecha de malware.
1.2. Alcance
Este documento es elaborado para uso de personal en sitio, como complemento para diagnosticar la
presencia de procesos normales y con sospecha de malware.
2.
HERRAMIENTAS SYSINTERNALS 2
2.1.
Requerimientos de Instalacin
El instalador de esta herramienta se extrae del sitio oficial o por recurso compartido de la red SENA,
este debe ser ejecutado en los equipos clientes por un usuario con permisos de instalacin local o del
dominio.
Imagen 1
Recurso compartido: \\172.16.4.138\Install\TOOLS
Descargar archivo comprimido Autoruns en la maquina afectada.
Imagen 2
Imagen 3
Imagen 4
A menudo el malware o software desconocido suelen suplantar nombres de entradas legtimas, lo que
se debe validar son las entradas que no estn firmadas o que no tengan alguna descripcin, ya que el
malware no debera estar firmado por ninguna de ellas, como se muestra a continuacin:
Imagen 5
Si validamos la ruta donde se encuentran alojados los archivos sospechosos, se puede observar que
son archivos ms recientemente modificados y adems tienen iconos y nombres genricos, en algunos
casos el peso de los archivos es similar:
Imagen 6
Al realizar doble clic desde el visor de imagen No. 4, en la entrada nos llevara a su llave de registro
correspondiente:
Imagen 6
Nota: Una vez que se hayan identificado las entradas que se cree que son sospechosas, se tiene que
decidir lo que se quiere realizar con estas llaves:
a. Desactivar temporalmente la ejecucin automtica de entrada.
b. Eliminar permanentemente la entrada de ejecucin automtica.
c. Localizar el proceso en marcha (usando el Administrador de tareas o mejores) y
terminarlo.
d. Eliminar el archivo EXE o DLL de su disco (o al menos moverlo a una carpeta en la que
no se iniciar automticamente).
e. O todo lo anterior, dependiendo de cuan seguro est de que el programa es malicioso.
Para confirmar los cambios efectuados, se tendr que reiniciar el equipo y comprobar lo siguiente:
a. Autoruns para ver si la entrada (llave de registro) se evidencia nuevamente.
b. Administrador de tareas (o similar), para ver si el programa se inici de nuevo despus
del reinicio.
c. Comprobar el comportamiento que llevaron a sospechar que el sistema operativo estaba
infectado en primer lugar. Si ya no sucede, es probable que el sistema operativo se
encuentra limpio.