Tools: ESET SysInspector Beta

ESET SysInspector es un programa gratuito de utilidades de ESET, desarrollador de ESET Smart Security y ESET NOD32 Antivirus, diseñado para recolectar información acerca de su sistema operativo con el propósito de mediar en una variedad de cuestiones, por ejemplo: Comprobar la integridad de nuestro sistema de archivos, procesos y verificar la existencia de malware.
Actualmente, ESET SysInspector es un programa de sólo lectura ("read-only") en tanto que está diseñado para recolectar información y no realizar ninguna modificación en el sistema en el que se está ejecutando.

Partamos del hipotético caso de que hemos sido víctimas de dos códigos maliciosos; por un lado, simulando ser el icono del navegador Internet Explorer, el troyano Spy Banker orientado al robo de información bancaria; y por otro, el troyano Qhost que modifica la información del archivo Hosts para realizar Pharming Local.

Cada vez que se ejecuta ESET SysInspector, examinará el sistema para determinar su configuración. Esto puede llevar algunos minutos, dependiendo de la velocidad de su equipo y su configuración. Cuando ESET SysInspector ha finalizado de catalogar al sistema, desplegará esta información en la interfaz gráfica de usuario.

Ejecutamos entonces ESET SysInspector y, como un buen detective, nos revela una gran cantidad de información detallada relacionada con los procesos activos, claves puntuales del registro que generalmente son manipuladas por el malware, servicios, conexiones de red, archivos críticos, etcétera.

Procesos maliciosos
Podemos verificar la existencia de procesos maliciosos recolectando información de dónde se encuentra alojado, qué librerías dinámicas utiliza y un resumen de Hash en SHA1 que nos puede servir, por ejemplo, para comparar archivos. Similar a lo explicado en “Identificando procesos maliciosos en sistemas Windows”.

Conexiones de red
La mayoría del malware actual suele, una vez activado, intentar descargar otros códigos maliciosos, o en algunos casos incorporan un servidor SMTP utilizado, por ejemplo, para enviar spam aprovechando la conexión DSL. Este comportamiento es digno de sospecha.

Manipulación del registro
Otra de las actividades típicas del malware actual es manipular determinadas claves del registro que permitan levantar el proceso malicioso cada vez que el sistema operativo es iniciado. ESET SysInspector también nos advierte de esta actividad. En “Cuando quedan rastros del malware” pueden encontrar información más detallada sobre las claves que habitualmente suele manipular el malware actual.

Archivos críticos
El pharming local es una técnica orientada al robo de información confidencial que consiste en desviar el direccionamiento a nivel local, esto se logra a través del archivo Host; ESET SysInspector nos brinda información particular sobre este archivo. De esta manera podemos verificar a simple vista si fue modificado o no.

Esta utilidad es muy importante ya que muchos códigos maliciosos orientados a realizar ataques de phishing suelen modificar la información que contiene este archivo.
Poder explorar cada sector de nuestro sistema en busca de información crítica es muy importante a la hora de chequear lo que realmente está sucediendo en nuestra computadora, y ESET Sysinspector nos ayuda a solventarlo desde una única pantalla, sin necesidad de instalar el software en el equipo y manteniendo la eficacia que caracteriza a los productos de ESET.
Via Jorge, blogs.eset-la.com

Link Relacinado
ESET SysInspector