Cómo detectar (y evitar) ejecutables y posibles virus usando TC

Gabolonte Blasfemus

image Alejandro de Spamloco realizó un magnífico post sobre las nociones básicas que todo usuario debería tener sobre los archivos y sus extensiones, principalmente pensado para usuarios de Windows Live Messenger, los cuales se ven constantemente atacados por virus y troyanos que intentan hacerse pasar por fotos y documentos, y esto me llevó a pensar en métodos que con el tiempo yo fui desarrollando, a veces por accidente, otras por leerlo en algún lado, para detectar archivos ejecutables y, principalmente, si estos pueden ser o no malware. Muchos de los trucos son en base al sentido común y pueden realizarse con otras herramientas, mientras que para otros no conozco otra más ideal que Total Commander, el manejador de archivos (y mucho más) por excelencia del que ya he hablado antes.

Antes que nada aclaremos que el utilizar una herramienta como TC nos permite ver automáticamente todas las extensiones de archivos, incluso las que Windows siempre oculta, como lnk para los accesos directos de Windows y pif para los de DOS. También tenemos que asegurarnos de tener habilitada la opción Mostrar archivos ocultos/sistema en la configuración del programa, accesible por el menú Configuración/Opciones/Pantalla. Vamos con los tips.

No abrir ejecutables innecesariamente

Nos bajamos una aplicación o cualquier otro contenido que viene contenido todo dentro de un exe? La forma normal de lidiar con eso sería ejecutarlo, pero si lo hacemos corremos el riesgo de que se ejecute "algo más" que pueda venir con el paquete, y además las opciones de muchos autodescompresores, como por ejemplo los de WinZip y WinRar, son muy limitadas. Lo mejor es evitar, si podemos, ejecutar cualquier exe que bajemos o nos hayan enviado, y para eso TC tiene una función muy útil: Presionando Ctrl+Av Pág (Pg Down), si el exe contiene información comprimida o codificada mediante algún formato conocido por TC, este nos dejará abrirla, y desde ahí podremos copiar ese contenido a donde se nos antoje. Incluso es posible, mediante el agregado de plugins para abrir otros tipos de contenido, utilizar esta función para, por ejemplo, meterse dentro de archivos de video y ver cada fotograma como un archivo de imagen.

image

Será un virus?

Algo que caracteriza a casi todo el malware es su bajo peso en bytes, ya que suele ser código eficientemente creado donde no se desperdicia ninguno; esto ayuda a que al pesar menos se descarguen y ejecuten más rápidamente en cualquier entorno. Pero también nos ayuda a detectarlos mejor. Tengan por seguro que ese photoshop12.exe que bajaron por la mula y pesa 110 KB no es lo que dice ser…

Qué fue lo último que se ejecutó en el sistema?

Los administradores de procesos, el que viene incorporado con Windows incluído, son herramientas muy útiles para ver un poco que pasa por detrás de nuestro sistema. Pero a veces simplemente nos pasa que, por error, por impulso, o porque sencillamente ahora sospechamos de haber ejecutado algo con contenido malicioso, nos gustaría chequear que fue lo último que se comenzó a ejecutar en el sistema, y en TC eso no es nada difícil de averiguar. Para empezar debemos contar con un plugin como PROC instalado, el cual nos lista en TC a los procesos que se ejecutan en Windows de la misma forma que se listarían los archivos de una carpeta. Luego ordenamos el listado por fecha, simplemente haciendo click sobre el nombre de la columna Fecha hasta que quede delante de la palabra la flechita apuntando hacia abajo, la cual nos indica que los primeros ítems serán los que veremos primero en la lista. De esta forma podremos ver si no hay ningún proceso sospechoso que, casualmente, haya el último en ejecutarse desde que abrimos aquel exe que nos despertaba sospechas. Visualizar el icono de cada ejecutable y poder hacer click derecho y seleccionar las propiedades para entre otras cosas ver desde que carpeta de ejecuta cada uno también ayuda.

image

Este mismo principio de la fecha es aplicable también a Startup Guard, otro plugin de TC que en este caso nos lista los procesos que se ejecutan al inicio del sistema, y a Services, el cual, previsiblemente, nos lista los servicios de Windows informándonos de su estado.

La extensión siempre nos dice la verdad?

Pues no, la realidad es que la extensión de un archivo es simplemente una convención, una forma fácil para el sistema operativo, mirando únicamente a esas letras después del último punto (no hay que olvidar, al menos en Windows, desde Windows 95 el nombre de un archivo en esta familia de SOs puede contener varios puntos, y que la extensión siempre será la que esté a la derecha del último, y que esta puede tener más de tres caracteres) y sin tener que analizar el contenido previamente, de qué tipo es un archivo dado. Pero la realidad es que podemos agarrar por ejemplo el archivo virus.exe y renombrarlo a foto.jpg.pif, con lo cual, salvo por el icono, a la vista del Explorador de Windows se verá como foto.jpg (Windows por defecto oculta las extensiones lnk y pif, sino las veríamos molestamente en cada acceso directo) que puede lograr engañarnos. Por eso, si tenemos dudas sobre qué es realmente algún archivo en particular, nada mejor que mirar en su encabezado. Qué es el encabezado de un archivo? Son los primeros bytes de este, que tienen una secuencia preestablecida acorde al verdadero tipo de archivo del que se trate. Y sí, para esto también nos sirve TC. Sin necesidad de instalar ningún plugin extra presionamos F3 mientras estamos parados sobre el archivo, y Lister (el visor interno de TC) nos mostrará la cadena de bytes, en formato binario, que componen a este.

image

Una sencilla guía preliminar para tener en cuenta es que los archivos exe empiezan con MZ, los jpg con la cadena JFIF luego del sexto caracter, y los bitmaps (extensión bmp) empiezan con BM. Podemos observar así por ejemplo como es el encabezado estándar de un formato de archivo en particular para luego compararlo con aquel otro que tiene la misma extensión pero del que sospechamos lo que realmente es.

Es importante tener en cuenta que ninguno de estos métodos constituye algo infalible por sí mismo, y que aún así tomando estas medidas puede suceder que nuestro sistema esté infectado y no lo sepamos, pero en general estos modestos métodos sirven para prevenir y evitar que se instale malware en la mayoría de los casos. Como siempre, espero que sirva.


One Response to “Cómo detectar (y evitar) ejecutables y posibles virus usando TC”