Hoy voy a hablarte de una herramienta muy útil de Microsoft llamada Process Explorer. De modo que vas a tener un vistazo rápido de lo que está 'sucediendo' en tu ordenador.

Y si lo que quieres es escanear el equipo, puedes hacerlo desde fuera del sistema con la herramienta Kaspersky Rescue Disk.

Una de las características más interesantes de Process Explorer es la integración con Virustotal, una plataforma de análisis de archivos y URLs que utiliza múltiples motores antivirus para escanear posibles amenazas. 

Para activar esta función, simplemente debes ir a la pestaña "Options" y seleccionar "VirusTotal.com > Check VirusTotal.com". Esto enviará el hash del proceso actual a 'virustotal.com' para que pueda ser analizado y mostrate los resultados en tu navegador web.

Ahora hablemos de las pestañas de propiedades del proceso. Al hacer clic con el botón derecho en un proceso y seleccionar "Properties", encontrarás varias pestañas útiles. Por ejemplo, en la pestaña "TCP/IP" verás conexiones abiertas por el proceso; que suelen ser métricas, validación de certificados y demás.., pero en caso de malware, será útil para identificar comunicaciones sospechosas. O la pestaña "Image", donde podrás ver la ruta del archivo del proceso, lo que te ayudará a identificar su ubicación en el sistema.

Otra característica interesante de Process Explorer es la capacidad de verificar la firma de imágenes de un proceso para comprobar si cuenta con certificados válidos. Esto te permite asegurarte de que los archivos ejecutables son legítimos y no han sido alterados. Para hacer esto, simplemente selecciona un proceso y ve a la pestaña "Options > Verify Image Signatures".

Si te interesa saber qué proceso o procesos están relacionados con una aplicación que tienes seleccionada en primer plano, Process Explorer también te ofrece una forma de hacerlo. Solo tienes que ir al botón 'Find Windows Process', hacer clic con el ratón y arrastrar hacia la ventana que te interese. Luego, ve a la opción "View > Lower Pane View > DLLs" para ver mejor los procesos asociados con la aplicación.

Ahora, pasemos a cómo podemos utilizar dos servicios de análisis de malware basados en la nube populares, 'Filescan.io' o 'Hybrid Analysis', para analizar el comportamiento del malware. Estas plataformas permiten cargar archivos sospechosos y ejecutarlos en un entorno seguro y aislado para observar su actividad. Puedes cargar un archivo en cualquiera de estas páginas y obtendrás un análisis detallado de su comportamiento, procesos involucrados y posibles amenazas.

Además, si prefieres una experiencia más visual y en tiempo real, te recomiendo utilizar un Sandbox interactivo como 'ANY.RUN'. Estos entornos te permiten ejecutar el malware en un ambiente virtual y observar su comportamiento de manera gráfica. Podrás ver qué archivos crea, qué registros modifica y qué conexiones de red intenta establecer. Esto te dará una idea clara de qué haría el malware en tu sistema sin poner en riesgo tu equipo.