miércoles, 22 de agosto de 2012

Hacer click y ejecutar

Este es uno de esos posts generados a raíz de los "favores informáticos" que hace uno a sus amigos/as, y sobre todo, a sus padres. Pues nada, que me coge mi padre y me dice que a ver qué era ésto, una unidad de disco Q:\, a la cual no podía ni acceder ("Acceso denegado", aún trabajando con un usuario con privilegios de administrador), ni tenía permisos para ver nada, y no mostraba nada cuando trataba de ver sus "Propiedades":



Mirando el administrador de discos (diskmgmt.msc), no se ve dicha partición por ningún lado. Utilizando después la consola MMC de "Administración de equipos" (compmgmt.msc), en "Carpetas compartidas -> Archivos abiertos", existe una entrada "\\localhost\q$", con una conexión abierta. Al tratar de cerrar dicha conexión, aparece un pop-up que dice algo como: "Ésta conexión ha sido establecida por motivos administrativos... ¿está seguro que desea cerrar la sesión?". Tiene pinta de ser algún programa o proceso quien está empleando el recurso.

Finalmente, se me ocurre acudir a la inestimable ayuda del Process Explorer, y buscar un "Handle/DLL" que estuviera haciendo uso de la unidad Q:\. Y veo lo siguiente:



El ejecutable parece que pertenece al MS OneNote, pero ¿qué era el proceso padre CVH.exe? Dándole vueltas al asunto (con Google), e incluso probando los ejecutables en VirusTotal, aún habiendo verificado las firmas de los procesos, me hacen descartar la posibilidad de un virus o malware.

Al final, viendo la descripción del proceso y alguna que otra cosa más (es verdad que el modo paranoid te deja ciego :P), resulta que es el MS Office Client Virtualization Handler, generado a consecuencia de la instalación de Office 2010 en modo "Hacer click y ejecutar", en vez de una instalación por MSI. En el enlace anterior también se enumeran las ventajas de este tipo de instalación, además del por qué de la creación de la unidad Q:\.

Y eso es todo. ¿Puedo decir que "me siento más seguro/tranquilo"? :S Aprovecho para dar las gracias a mi padre, que por él ha salido este post, y que gracias a los usuarios, seguimos teniendo trabajito que hacer.

Salu2!!

No hay comentarios: