photo credit: Visual Content Data Breach via photopin (license)
Tras muchas lecturas en internet, una pequeña y rápida guía para tratar de detectar malware y amenazas en windows.
Pasos a seguir y herramientas a usar:
Escanear actividad sospechosa:
- puertos abiertos
- netstat –ant
- tcpview (sysinternals)
- currports (nirsoft.net)
- procesos en ejecución
- Proccess explorer, Process Monitor (sysinternals)
- Entradas en el Registro
- Jv6PowerTools (macecraft.com)
- RegScanner (nirsoft.net)
- Drivers instalados
- Cmd->msinfo32->Entorno de Software -> Controladores de Sistema
- DriverView (nirsoft)
- Servicios de Windows
- Service Manager srvman (http://tools.sysprogs.org)
- Programas ejecutados y cargados al inicio (startup)
- Registro
- Security AUrotun (http://tcpmonitor.altervista.org)
- Autoruns (sysinternals)
- C:\Windows\System32\drivers
- Entradas Boot.ini bcd (bootmgr)
- msc -> tipo de arranque
- Carpetas startup:
- C:\ProgramData \Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\(user-name)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- Registro
- Archivos y Carpetas
- Cmd -> sigverif
- Tripwire
- Actividad de red
- Capsa (http://www.colasoft.com)
- Modificación de archivos de sistema
- (punto 7)
- Herramientas de detección de Malware
- TrojanHunter (http://www.trojanhunter.com/)
- Emsisoft Anti-Malware
- malwarebytes.org