Los procesos de Windows juegan un papel importante en el buen funcionamiento de su PC o computadora portátil. Algunos, como csrss.exe y winlogon.exe, son tan cruciales que si decide cancelarlos por error, puede terminar bloqueando su dispositivo. Los autores de malware aprovechan tal criticidad para infectar sistemas Windows sanos. La premisa es que los virus, el adware, el spyware y los troyanos se pueden etiquetar como se desee, incluso con el nombre de los procesos estándar del sistema de Windows.
A continuación se muestran algunos de los principales procesos de Windows 11 y 10 que a menudo se confunden con el malware del mismo nombre. Aprenda a detectar las falsificaciones si aparecen en su sistema.
Contenido
- Cómo saber si un proceso de Windows es legítimo
- 1. Explorador.exe
- 2. lsass.exe
- 3. RuntimeBroker.exe
- 4. Winlogon.exe
- 5. Svchost.exe
- 6. OfficeClickToRun.exe
- 7. igfxem.exe
- 8. Csrss.exe
- 9. GoogleCrashHandler.exe
- 10. Spoolsv.exe
- 11. Administrador de tareas
- Resumen: señales de advertencia de malware que se asemejan a los procesos de Windows
- Preguntas frecuentes
.toc{background-color:#f3f4f6;font-size:16px;font-weight:500;padding:1em;}.toc h4{text-align:center;text-transform:uppercase;font-size:0.9375rem;margin-bottom:1rem;}.toc ul{margin:0;padding:0;font-size:15px;}.toc-content{overflow-y:auto;max-height:600px;}.toc-content li{list-style:none!important;margin-bottom:1em;}.toc-content a{color:rgba(74,85,104,var(–text-opacity));text-decoration:none;}.toc-content a:hover{color:#C72F29;}.toc-content li.active a{color:#C72F29;font-weight:bold;}@media (min-width:1340px){.toc-wrap{position:absolute;float:left;top:0;left:0;height:100%;width:200px;background-color:white;}.toc{position:sticky;top:70px;font-size:14px;padding:0.5em;}.toc-content li{margin-bottom:0.5em;}}yipress.load_scrollspy = true;
Cómo saber si un proceso de Windows es legítimo
Hay dos formas de verificar si un proceso de Windows es legítimo o una fuente de malware: a través de las Propiedades de la aplicación y utilizando herramientas externas como CrowdInspect de CrowdStrike.
1. Verificación de la legitimidad de un proceso de Windows a través de sus propiedades
Todos los archivos de proceso de Windows autorizados están conectados a Microsoft Corporation, el desarrollador oficial del programa/aplicación o una cuenta de Microsoft integrada, como TrustedInstaller.exe, que gobierna carpetas como WindowsApps .
Para determinar si un proceso de Windows 11 o 10 es legítimo y no una fuente de malware, debe mirar debajo del capó en sus Propiedades de la aplicación. Vaya a la pestaña «Detalles» y busque el propietario oficial de los derechos de autor del proceso. Si es Microsoft, un desarrollador de aplicaciones o TrustedInstaller, está listo para comenzar.
También en Windows 11/10, puede consultar la pestaña «Firmas digitales» de las Propiedades de un proceso. Aquí encontrará las firmas digitales oficiales con las últimas marcas de tiempo que le brindan una capa adicional de seguridad.
Como la firma de un controlador para estos procesos requiere permisos estándar de Microsoft (además, el arranque seguro UEFI impide cualquier acceso no autorizado a la raíz del dispositivo ), ahora es imposible que los autores de malware falsifiquen las firmas digitales en Windows 11.
Desde lo mundano hasta lo de importancia crítica, como «services.exe» o «svchost.exe», todos los procesos de Windows 11 están firmados digitalmente con marcas de tiempo. Con cada actualización exitosa de Windows, esta autenticación se vuelve a verificar.
Por otro lado, las Propiedades del proceso de Windows 10 podrían tener la pestaña Firmas digitales faltando por completo. Además, es posible que algunos de los procesos no muestren correctamente la información de copyright.
Sin embargo, incluso en Windows 10, los procesos internos del sistema de misión crítica como Winlogon.exe siempre muestran esta información. Puede verificar la autenticidad del software a través de otros medios . Además, si instala controladores sin firmar en Windows 10 u 11 , no mostrarán ninguna firma digital en el reinicio posterior.
2. Verificación de la legitimidad de un proceso de Windows mediante CrowdInspect
Tanto en Windows 10 como en Windows 11, puede verificar la autenticidad de un archivo de proceso a través de una aplicación de software externa: CrowdInspect de CrowdStrike. CrowdInspect es una herramienta gratuita de inspección de procesos en tiempo real y basada en host que busca malware en segundo plano mediante motores de detección como VirusTotal.
- Descargue el archivo ZIP de CrowdInspect desde el enlace oficial y haga clic en el programa descomprimido para iniciarlo. No tienes que instalar nada.
- Acepte un acuerdo de licencia y pase a la pantalla donde puede realizar un análisis híbrido de todos los procesos en segundo plano en su dispositivo Windows. Use la clave API incorporada y haga clic en «Aceptar».
- Espere hasta que CrowdInspect llene su pantalla con el conjunto completo de programas y procesos en segundo plano en su dispositivo Windows.
Puede verificar el estado de los programas a través de símbolos de colores. Cualquier elemento que esté limpio se indica con un icono verde. Si hay dudas, verá signos de interrogación al lado del icono. Para aquellos elementos con una amenaza de gravedad baja, hay un ícono amarillo. Los elementos con amenazas de gravedad alta se indican con un icono rojo. No verá ningún ícono amarillo o rojo si su dispositivo está en buen estado.
- Para verificar aún más que no haya problemas de malware, haga clic con el botón derecho en el proceso y haga clic en «Ver resultados de la prueba HA». No debería notar ningún error, una indicación segura de que no está tratando con ningún malware.
Lista de procesos comunes de Windows 11/10 que se asemejan al malware
1. Explorador.exe
Se puede acceder fácilmente al programa universal Explorador de archivos de Windows, explorer.exe, desde la barra de tareas y el escritorio. Su propósito principal es servir como administrador de archivos para todos los archivos y carpetas de su dispositivo Windows 11/10. Debido a su vital importancia, el programa explorer.exe es un objetivo favorito de los atacantes.
Detección de virus : el malware explorer.exe generalmente aparece como troyanos, ransomware (especialmente correo electrónico) y archivos Adobe Flash. El programa legítimo siempre se encuentra en «C:Windows», y los duplicados pueden aparecer en la unidad D, Archivos de programa, carpetas ocultas o cualquier otra ubicación de la PC.
Acción : si hay dos o tres instancias de explorer.exe en su dispositivo, no hay nada de qué preocuparse, siempre y cuando todas tengan firmas digitales y ubicaciones válidas. Cuando hay varios procesos que consumen CPU, identifique los falsos en CrowdInspect y luego haga clic con el botón derecho para «matar el proceso».
2. lsass.exe
lsass.exe significa Servicio de subsistema de autoridad de seguridad local, que se ejecuta detrás de su autenticación de usuario de Windows. Además del malware, no debe finalizar los procesos originales, ya que su sistema perderá el acceso a las cuentas locales y de administración , lo que provocará un reinicio del dispositivo.
Detección de virus : una forma común en que los autores de malware disfrazan lsass es sustituyendo la «l» minúscula por una «i» en mayúscula o una «L» mayúscula. Tenga cuidado con cualquier falta de ortografía intencional. Además, cualquier firma digital no válida y archivos ubicados fuera de la carpeta «C:WindowsSystem32» son un claro obsequio.
Acción : finalice los procesos falsos de lsass desde el administrador de tareas. Si no está seguro de si es una «l» o una «i», haga lo mismo desde CrowdInspect. Múltiples instancias de lsass válidas están bien y no deben manipularse.
3. RuntimeBroker.exe
RuntimeBroker.exe es un proceso seguro de Microsoft cuyo trabajo es administrar los permisos para cualquier aplicación descargada de Microsoft Store. Verifica la autenticidad de programas como la aplicación Fotos. Si alguna aplicación no pertenece a su dispositivo Windows, Runtime Broker lo alerta al consumir mucha memoria adicional.
Detección de virus : si su dispositivo Windows está infectado con el virus RuntimeBroker.exe, verá su presencia en otras ubicaciones de PC además de «C:WindowsSystem32». Como el programa no es legítimo, las fugas de memoria se dispararán, sobrecargando su CPU. También notará una firma digital no válida para las instancias falsas.
Acción : abre el administrador de tareas. Haga clic en varias instancias válidas de Runtime Broker y haga clic en «Finalizar tarea». Esto terminará con cualquier problema con una aplicación determinada. Para las entradas falsas de RuntimeBroker.exe, elimínelas de CrowdInspect.
4. Winlogon.exe
Cuando se trata de procesos en segundo plano de Windows, no hay nada más importante en el esquema de las cosas que winlogon.exe. No solo gobierna el proceso de inicio de sesión, sino que también carga perfiles de usuario, controla el protector de pantalla y se conecta con múltiples redes. Se encuentra en «C:WindowsSystem32».
Detección de virus : por lo general, un software espía o una herramienta de registro de teclas, winlogon.exe es un malware muy peligroso que puede hacer que los sistemas comiencen a fallar, lo cual es fácil de reconocer. Si tiene activado Windows Defender, le advertirá que elimine inmediatamente el archivo y finalice cualquier vector utilizado (correo electrónico, navegador web).
Acción : el ejecutable seguro winlogon.exe no tendrá más de una instancia en CrowdInspect. Las otras instancias falsas deben eliminarse al llegar utilizando las sugerencias de Windows Defender.
5. Svchost.exe
Svchost.exe se refiere al «host de servicio» de Windows, un proceso de servicio compartido que sirve como shell para cargar varios servicios de Windows. Dependiendo de la cantidad de aplicaciones abiertas, generalmente hay muchas instancias de svchost.exe que se ejecutan como procesos individuales.
Detección de virus : se encontrará con un episodio de malware svchost.exe cuando encuentre una carpeta protegida o un programa bloqueado por un proceso duplicado o con variantes ortográficas como “svhosts.exe”. En su mayoría son ransomware o herramientas de fraude bancario. Sus vectores de origen incluyen archivos PDF, archivos ZIP y JavaScript.
Acción : estos troyanos suelen ser una amenaza de bajo nivel, pero deben eliminarse lo antes posible. Las herramientas antivirus estándar y Windows Defender están equipados para eliminar cualquier instancia de host de servicio que no se encuentre en «C:WindowsSystem32».
6. OfficeClickToRun.exe
Si ha estado usando herramientas de Office, como Word, Excel o PowerPoint, se ha topado con un ejecutable llamado OfficeClickToRun.exe. Su trabajo es ejecutar las últimas versiones de Microsoft Office en su dispositivo y manejar las actualizaciones. Incluso cuando no es un malware, OfficeClickToRun.exe puede consumir mucha memoria en su CPU. Sin embargo, si elimina periódicamente los archivos temporales, es una carga mucho menor.
Detección de virus : ¿el ejecutable está presente en alguna otra ubicación aparte de los archivos de programa en la carpeta compartida de Microsoft? El archivo adicional no es saludable para su sistema. Además, su dispositivo Windows solo debe tener una instancia de OfficeClickToRun.exe en ejecución. Verifique las firmas digitales para ver si hay otras.
Acción : aunque no es dañina por sí misma, las instancias falsas de OfficeClickToRun.exe pueden obstruir la memoria de su sistema. <font style
