En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Todos los productos antivirus para equipos de sobremesa y servidores de Trellix para Microsoft Windows
Resumen
En este artículo se describen los procedimientos y las ubicaciones para ayudarle a encontrar archivos sospechosos cuando sus productos antivirus no detectan infecciones.
Entre los posibles síntomas se incluyen:
Comportamiento de equipo sospechoso como un uso elevado de la CPU en procesos no reconocidos
Tráfico de red o uso de ancho de banda considerablemente mayor
Se han quitado nuevos servicios o se han eliminado servicios existentes
No se puede acceder a recursos de red como unidades compartidas
Las aplicaciones dejan de funcionar o no se puede acceder a los archivos
Se han agregado claves de registro inesperadas
Internet Explorer Página principal cambiada sin permiso
IMPORTANTE: Debido a la amplia variedad de malware y otras amenazas, no podemos proporcionar una lista de todos los posibles síntomas de infección. Si sospecha que su sistema está infectado y los síntomas específicos no se muestran, siga teniendo en cuentan todas las precauciones disponibles. Asegúrese de que los archivos DAT estén actualizados y ejecute un análisis bajo demanda o un análisis de línea de comandos del sistema. Si no se detecta la infección, siga los procedimientos que se describen en este artículo para recopilar muestras de archivos sospechosos y enviarlas a Trellix Labs.
En este artículo se incluyen referencias a algunas herramientas de terceros. Para obtener instrucciones sobre su uso, le recomendamos que utilice los archivos de ayuda para los productos de terceros.
Contenido:
Haga clic para expandir la sección que desee ver:
Asegúrese de utilizar los archivos DAT y del motor más recientes
Descargue el DAT y el motor actuales del sitio web de actualizaciones de seguridad:
Es posible que necesite descargar estos archivos si se produce un error en la actualización automatizada o utilizar un archivo extra .DAT en un sistema infectado.
Haga clic en la pestaña DAT para descargar el archivo DAT más reciente. El formato de archivo denota la versión dat-####.zip de DAT, donde #### es la versión de DAT.
Haga clic en la pestaña motores para descargar el motor más reciente.
Compruebe la columna versión para identificar la versión del motor publicada actualmente.
Asegúrese de utilizar la última actualización de productos disponible o hotfix
Determine qué actualización o hotfix está instalado. La forma de determinar varía según el producto y los métodos típicos son:
Haga clic con el botón derecho en el icono del producto en el área de notificación y seleccione Ejemplos:de.
Abra la consola del producto y seleccione ayuda, acerca de.
Algunos productos requieren un comando de consola para determinar si hay una actualización instalada. Consulte la documentación del producto correspondiente.
Descargue e instale la actualización de producto más reciente. Es posible que se necesite una combinación de actualización de productos, DAT y motor para eliminar una virus.
El software del producto, las ampliaciones, las versiones de mantenimiento y la documentación están disponibles en el sitio de descargas de productos.
Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Instalación de actualizaciones de seguridad de Microsoft
Instale para los actualizaciones de seguridad Microsoft más recientes para evitar que se aprovechen vulnerabilidades de seguridad. Asegúrese de que se han descargado e instalado las últimas actualizaciones y correcciones. Puede configurar Windows para realizar estas acciones automáticamente.
Configuración de productos para el análisis
Verifique que ha configurado los analizadores en tiempo real y bajo demanda para:
Analizar en busca de spyware
Analizar en busca de programas potencialmente no deseados
Nota: Algunas de estas opciones solo están disponibles en VirusScan Enterprise. Consulte la guía del producto de su producto para obtener detalles e instrucciones.
Ejecute un análisis bajo demanda con todas las opciones de configuración de análisis activadas
Realice un análisis bajo demanda completo de todos los archivos cuya acción principal esté definida como limpiar. Consulte la guía del producto de su producto para obtener detalles sobre cómo configurar un análisis bajo demanda. Para VirusScan Enterprise, haga clic en Iniciar, no deseados, McAfee, Análisis bajo demanda, Iniciar.
Ejecutar el análisis .exe con los últimos archivos DAT beta
Si el análisis bajo demanda y los archivos DAT estándar no detectan la infección, es posible que se detecte con las firmas adicionales de los archivos DAT beta.
Automáticamente (con el archivo ejecutable de SuperDAT más reciente):
Inicie avvwin_xdatbeta.exe en el equipo infectado. El ejecutable actualiza todos los productos que utilizan archivos DAT.
Una vez finalizada la actualización, ejecute un análisis bajo demanda en todas las unidades o bases de datos en función del producto.
Manualmente (con el archivo DAT más reciente):
Para actualizar manualmente los archivos DAT de su producto, consulte el artículo pertinente para obtener instrucciones.
Si el análisis bajo demanda aún no detecta ninguna amenaza:
Busque en Windows archivos de configuración para ver si hay entradas sospechosas.
Busque en el grupo de programas de inicio cualquier elemento o aplicación que no reconozca.
Compruebe las ubicaciones del registro comunes en busca de entradas sospechosas.
Utilice Windows Explorer para comprobar las ubicaciones de los directorios comunes de los archivos maliciosos.
Compruebe el planificador de Windows las entradas que no reconoce.
Utilice otras herramientas de Trellix y de terceros para descubrir actividades maliciosas.
Localizar archivos sospechosos
Es probable que las carpetas de inicio y las ubicaciones del registro contengan entradas sospechosas. Examine las siguientes ubicaciones.
PRECAUCIÓN: Este artículo contiene información sobre cómo abrir o modificar el registro.
La información siguiente va dirigida a administradores de sistemas. Las modificaciones del Registro son irreversibles y podrían provocar un fallo del sistema si se realizan de modo incorrecto.
No ejecute ningún archivo REG si no está seguro de que sea un archivo de importación del Registro auténtico.
Archivos de configuración del sistema:
Win.ini
Este archivo se utilizaba en versiones anteriores de Windows y se utilizaba durante el inicio del sistema. Con Windows 7 y posteriores, los detalles almacenados en este archivo se colocan ahora en el registro.
System.ini
Este archivo es un archivo de inicialización de Windows utilizado principalmente con versiones anteriores de Windows. No obstante, este archivo INI se sigue empleando para la compatibilidad con versiones anteriores de Windows.
Autoexec.bat
Este archivo se utiliza durante el inicio del sistema y se conserva en las versiones posteriores de Windows por compatibilidad con versiones anteriores. Se almacena en la raíz de la unidad del sistema. Este archivo por lotes ejecuta comandos al iniciarse.
Config.sys Este archivo es un archivo de texto ASCII de Windows heredado que contenía directivas de configuración a las que se puede acceder mediante msconfig .
Para ver la configuración de los sistemas mediante msconfig :
Pulse Windows + R, escriba msconfig y pulse Intro.
Examine la Elementos de inicio pestaña.
Examine la win.iniy system.inientradas.
Grupo de inicio
Al mirar las carpetas, cambie la vista a Detalles, y utilice el Fecha de creación columna para organizar los archivos:
\documents and settings\all users\Start Menu\Programs\Startup
Utilice IceSword el detector de rootkit para analizar el registro.
Haga clic en Inicio, McAfee, análisis bajo demanda, iniciar para ejecutar un análisis bajo demanda.
Si el análisis bajo demanda no detecta una amenaza, utilice el espacio de FPorty Vision Utilidadespara monitor actividad. NOTA: Las siguientes utilidades de terceros también pueden resultar útiles para registrar la actividad de archivos maliciosos:
Explorador de procesos
TCPView
ProcMon
Autoruns
RootkitRevealer
Reúna muestras sospechosas. Recopile en una ubicación los archivos o métodos mencionados anteriormente que considere que un archivo es sospechoso. Asegúrese de que todos los archivos de muestra se incluyan en un solo archivo protegido .zip con contraseña. Establezca la contraseña como infectada. Envíe muestras a los laboratorios de Trellix. Cargue la muestra a través del portal ServicePortal o Platinum. Para obtener instrucciones, consulte el KB68030-Submit samples to Trellix Labs en busca de un fallo de detección de malware sospechoso. Recopile y envíe los resultados de la herramienta de escalación mínima (MER) para sus productos: ejecute la herramienta de MER para sus productos. Para obtener detalles sobre la lista de herramientas de MER para los productos de seguridad, consulte el KB59385-cómo utilizar las herramientas de Mer con los productos compatibles. Proporcione el archivo de resultados .tgz cuando se ponga en contacto con soporte técnico.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.