MANUAL HERRAMIENTAS

SYSINTERNALS V.1

SENA
Prestacin, Integracin e Interoperabilidad de
Servicios de Tecnologas de Informacin y
Comunicaciones

DOCUMENTO/ARCHIVO
Ttulo: Manual Herramientas Sysinternals v1
Nombre Archivo: Manual Herramientas Sysinternals v1
Fecha: 09/07/2015

Asunto/Detalle: Manual Herramientas Sysinternals

v1
Soporte lgico: Microsoft Word 2010
Cliente: Servicio Nacional de Aprendizaje (SENA)

Versin: 1

REGISTRO DE CAMBIOS
Versin
1

Pginas
6

Fecha Modificacin
09/07/2015

Motivo del cambio

Creacin del documento

CONTROL DEL DOCUMENTO

Versin
1

PREPARADO

REVISADO

APROBADO

AUTORIZADO

Nombre

Milton Hair Herrera

Edgar Godoy

Roberto Aristizabal

Julian
Collazos

Cargo

Especialista
Seguridad

Coord.
Seguridad Gerente Proyecto
Informacin

Andres

Firma

Manual Herramientas Sysinternals Micrsoft Versin 1.0

CONTENIDO
1. INTRODUCCIN .................................................................................................. 3
1.1.

Objetivo.....................................................................................................................3

1.2.

Alcance .....................................................................................................................3

1.3.

Definiciones y Siglas ...............................................................................................3

2. HERRAMIENTAS SYSINTERNALS 2 .................................................................. 4

2.1.

Requerimientos de Instalacin................................................................................4

2.1.2 Ubicar el ejecutable Autoruns ..................................................................................4

2.1.3 Verificacin Herramienta Autoruns ......................................................................5

Manual Herramientas Sysinternals Micrsoft Versin 1.0

1.

INTRODUCCIN

El siguiente documento contiene el paso a paso para el uso de herramientas de Sysinternals de

Microsoft para valorar o diagnosticar si hay presencia de malware en sistemas operativos Windows.

1.1. Objetivo
Documentar el uso de herramienta (Autoruns) de Sysinternals, como complemento para diagnosticar la
presencia de procesos normales y con sospecha de malware.

1.2. Alcance
Este documento es elaborado para uso de personal en sitio, como complemento para diagnosticar la
presencia de procesos normales y con sospecha de malware.

1.3. Definiciones y Siglas

Sysinternals: Paquete de herramientas avanzadas de administracin y diagnstico.
Autoruns: Herramienta de Microsoft que permite obtener una visin completa de lo que se inicia
durante el arranque del sistema operativo.
Utilidades de archivo y disco: Son todas aquellas destinadas a trabajar con ficheros o analizar
discos, sirven para auditar accesos a ficheros o archivos compartidos en red, como RAMMap para
monitorizar de forma pormenorizada el uso de la memoria.
Utilidades de seguridad: Sirven para localizar malware en los equipos, borrar informacin de forma
segura o monitorizar procesos, como por ejemplo RootketRevealer, para detectar rootkits en nuestros
equipos.
Agente: Proporciona comunicacin entre el Servidor de Administracin y el software de antivirus
instalado en los nodos de red (estacin de trabajo o servidor). As pues, es necesario instalar el
componente Agente de Red en todos los equipos que vayan a ser administrados desde la consola de
antivirus.
Antivirus: Programa informtico que tiene el propsito de detectar y eliminar virus y otros programas
perjudiciales antes o despus de que ingresen al sistema.
Consola de Administracin: Simplifica que gestiona la seguridad de los puntos finales y ofrece
funciones operativas de gran eficacia como actualizaciones de software y de polticas con un solo clic,
generacin de informes de forma centralizada y unificada, y un solo programa para licencias y
mantenimiento.
EPO: Consola de administracin de las herramientas de antivirus Mcafee.
Malware: Software malicioso que tiene como objetivo infiltrarse para degradar un sistema de
informacin sin el consentimiento de su propietario.
Troyano: Tipo de virus que se caracteriza por engaar a los usuarios disfrazndose de programas o
archivos legtimos/benignos (fotos, archivos de msica, archivos de correo, entre otros), con el objeto
de infectar y causar dao a un sistema operativo.
RootKit: Conjunto de herramientas utilizadas por los intrusos informticos o crackers que consiguen
acceder ilcitamente a un sistema informtico.

Manual Herramientas Sysinternals Micrsoft Versin 1.0

2.

HERRAMIENTAS SYSINTERNALS 2

2.1.

Requerimientos de Instalacin

El instalador de esta herramienta se extrae del sitio oficial o por recurso compartido de la red SENA,
este debe ser ejecutado en los equipos clientes por un usuario con permisos de instalacin local o del
dominio.

2.1.2 Ubicar el ejecutable Autoruns

Para descargar a la herramienta visita el sitio web o recurso compartido
https://technet.microsoft.com/en-us/sysinternals/bb963902

Imagen 1
Recurso compartido: \\172.16.4.138\Install\TOOLS
Descargar archivo comprimido Autoruns en la maquina afectada.

Imagen 2

Manual Herramientas Sysinternals Micrsoft Versin 1.0

Descomprimir y ejecutar con usuario administrador el archivo Autoruns

Imagen 3

2.1.3 Verificacin Herramienta Autoruns

Autoruns, permite obtener una visin completa de lo que se inicia durante el arranque del sistema
operativo, como se observar la siguiente imagen:

Imagen 4

Manual Herramientas Sysinternals Micrsoft Versin 1.0

A menudo el malware o software desconocido suelen suplantar nombres de entradas legtimas, lo que
se debe validar son las entradas que no estn firmadas o que no tengan alguna descripcin, ya que el
malware no debera estar firmado por ninguna de ellas, como se muestra a continuacin:

Imagen 5
Si validamos la ruta donde se encuentran alojados los archivos sospechosos, se puede observar que
son archivos ms recientemente modificados y adems tienen iconos y nombres genricos, en algunos
casos el peso de los archivos es similar:

Imagen 6

Manual Herramientas Sysinternals Micrsoft Versin 1.0

Al realizar doble clic desde el visor de imagen No. 4, en la entrada nos llevara a su llave de registro
correspondiente:

Imagen 6

Nota: Una vez que se hayan identificado las entradas que se cree que son sospechosas, se tiene que
decidir lo que se quiere realizar con estas llaves:
a. Desactivar temporalmente la ejecucin automtica de entrada.
b. Eliminar permanentemente la entrada de ejecucin automtica.
c. Localizar el proceso en marcha (usando el Administrador de tareas o mejores) y
terminarlo.
d. Eliminar el archivo EXE o DLL de su disco (o al menos moverlo a una carpeta en la que
no se iniciar automticamente).
e. O todo lo anterior, dependiendo de cuan seguro est de que el programa es malicioso.

Para confirmar los cambios efectuados, se tendr que reiniciar el equipo y comprobar lo siguiente:
a. Autoruns para ver si la entrada (llave de registro) se evidencia nuevamente.
b. Administrador de tareas (o similar), para ver si el programa se inici de nuevo despus
del reinicio.
c. Comprobar el comportamiento que llevaron a sospechar que el sistema operativo estaba
infectado en primer lugar. Si ya no sucede, es probable que el sistema operativo se
encuentra limpio.

Manual Herramientas Sysinternals Micrsoft Versin 1.0