Como detener los procesos maliciosos con Rkill, en tiempo real

Rkill es un programa antimalware desarrollado por los expertos de Bleeping Computer, una herramienta especialmente diseñada para poder desbloquear el PC de las amenazas que lo mantienen bloqueado y así poder desinfectar el equipo.

Se trata de una de esas herramientas que recomiendo añadir a nuestro arsenal personal, para situaciones de infección complicadas que no podemos resolver por medios convencionales.

¿Qué puede y qué no puede hacer RKill?

Lo primero es lo primero y conviene dejar claro que Rkill no es una herramienta antimalware completa, sino que se ha creado con el objetivo de interrumpir infecciones activas en memoria, además de eliminar las entradas de Registro de Windows que impiden que las aplicaciones de seguridad, como antivirus, puedan actuar con normalidad.

Así que, resumiendo, RKill símplemente “mata” los procesos de malware y escanea el registro en busca de entradas ilegítimas. A grosso modo, la app busca lo siguiente:

  • Objetos de ejecución en forma de archivo
  • Entradas de tipo Disallow run, que impidan a otros programas trabajar
  • Ejecutables que han sido secuestrados por otro proceso
  • Políticas que restringen el uso de ciertas utilidades de Windows

Cuando se produce alguna desinfección, Rkill creará un backup de estas entradas y las guardará en una carpeta “rkill” del escritorio. Cada backup de registro de Windows contiene una marca temporal, para que podamos restablecer cambios si no son los apropiados.

A tener en cuenta

Dado que RKill solamente termina los procesos y no elimina los archivos responsables, cuando acabemos el proceso con el programa NO deberemos reiniciar el PC, porque los procesos y sobre todo rootkits volverán a funcionar en el próximo reinicio.

En su lugar, lo que debemos hacer es analizar el equipo con un buen antimalware y antispyware, como podría ser la combinación Malwarebytes + SuperAntiSpyware, o quizá nuestro antivirus favorito.

Descargar Rkill

Podéis descargar RKill directamente desde la página de sus creadores, Bleepingcomputer.

Cómo utilizar RKill para desinfectar el equipo

Cuando lanzamos la aplicación, esta comenzará buscando posibles procesos comprometidos en Windows, que detendrá, además de procesos con síntomas de infección en otros programas.

Rkill 1

Después, además de buscar entradas no deseadas en el Registro de Windows, hará una comprobación de integridad de los servicios del sistema operativo.

Rkill 2

Finalmente, comprobará posibles entradas no firmadas en drivers y componentes de sistema. Cuando concluya, nos ofrecerá un informe de estado.

Rkill 3

En este caso no había problemas, pero ¿que hacemos si la aplicación no se puede lanzar y hay síntomas de infección?

Lanzar Rkill superando las restricciones

Ciertas clases de malware instalado podrían hacer que la aplicación sea incapaz de iniciar, poque habrán hecho pensar al sistema que se trata de un archivo malicioso o infectado. Algunos ejemplos son estos:

Como utilizar Rkill para desinfectar el sistemaProceso infectado

Estos avisos son falsas alertas que representan casos reales que podríamos encontrarnos. Desde Bleeping Computer nos ofrecen dos mecanismos para evadir el problema:

  1. Renombrar Rkill para que tenga una extensión .com
  2. Descargar desde la web oficial algunos ejecutables Rkill con nombres diferentes al habitual, ya que estos no aparecerán en la lista negra del malware (o eso dice la teoría).

Crear una lista blanca en Rkill

Rkill 2.5.9 permite ahora el mantenimiento de listas blancas en la app, útiles si se producen falsos positivos. Debemos crear un archivo con una lista de procesos y guardarla en codificación ANSI o UTF-8. Además, ten en cuenta que se debe especificar la ruta completa al ejecutable, por ejemplo:

C:\Windows\System32\App1.exe

Para abrir un archivo de lista blanca, utilizaremos el argumento -W en la línea de comandos. Ah, y no utilizaremos en ningún caso las comillas (“) para indicar las rutas.

Un ejemplo práctico de lo que comento es este:

rkill -w c:\users\user\desktop\wl.txt

Al nombrar nuestra lista blanca, también podemos utilizar las siguientes variables:

%SystemDrive% – Esto desplegará la ruta donde está instalado Windows, habitualmente la unidad C:
%WinDir% – Desplegará la carpeta donde está instalado Windows, usando un escalón inferior en la jerarquía,  C:\Windows
%System% – Desplegará la siguiente ruta, C:\Windows\System32
%Desktop% Desplegará el escritorio del usuario actualmente conectado
%UserProfile% – Desplegará el perfil de usuario
%AllUsersProfile% – Desplegará la ruta de todos los usuarios

Eso es todo por hoy. Espero que no necesitéis nunca un antimalware como RKill pero, de ser así, ya sabéis como utilizarlo y conseguirlo 😉

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s