Categoría Procesos Sistema Operativo
Categoría Procesos Sistema Operativo

Qué es el proceso hosts.exe

Qué es el proceso hosts.exe

hosts.exe es un nombre de archivo ejecutable que, según el análisis de fuentes de seguridad de Nivel 1, ha sido identificado exclusivamente como un componente de software malicioso. Es fundamental no confundir este archivo ejecutable con el archivo del sistema hosts (sin extensión.exe), que es un archivo de texto legítimo ubicado en C:\Windows\System32\drivers\etc\ y utilizado por Windows para la resolución de nombres de dominio.

El nombre del archivo hosts.exe es una clara táctica de suplantación de identidad. Los creadores de malware utilizan deliberadamente nombres que se asemejan a componentes legítimos del sistema, como el archivo hosts o procesos como svchost.exe, para confundir al usuario y evadir la detección por parte de software de seguridad básico.

Según la documentación de BleepingComputer, una fuente de Nivel 1 en seguridad informática, hosts.exe está clasificado explícitamente como un programa indeseable y ha sido identificado como un componente del troyano Troj/Kelvir-O. ReviverSoft refuerza esta clasificación al identificarlo como un proceso relacionado con el gusano W32.Kelvir, que se propaga a través de MSN Messenger.

Process Library añade que el archivo legítimo debería ubicarse en la carpeta C:\Windows\System32\drivers\setup\hosts, y advierte que en caso contrario podría tratarse de un troyano.

Función principal del proceso hosts.exe

La función principal de hosts.exe es completamente maliciosa y no está relacionada con ninguna tarea legítima del sistema operativo. Según el análisis de ReviverSoft, el proceso está asociado al gusano W32.Kelvir, el cual se propaga a través de mensajes de MSN Messenger (Windows Live Messenger) que contienen un enlace malicioso. Cuando el usuario hace clic en este enlace, se descarga un archivo RAR autoextraíble que, al ejecutarse, inicia la infección.

Una vez ejecutado, el malware despliega un comportamiento agresivo. Según ReviverSoft, el gusano Kelvir está diseñado específicamente para intentar terminar programas antivirus instalados en el equipo, dejando el sistema vulnerable a ataques adicionales. Además, el archivo descargado libera otra copia de sí mismo y una variante del gusano W32.Spybot, lo que aumenta significativamente el riesgo de seguridad del equipo comprometido.

El proceso hosts.exe también utiliza el equipo infectado para propagarse. Según ReviverSoft, después de ejecutarse, el gusano envía un mensaje a todos los contactos de MSN Messenger del usuario desde el equipo comprometido. Este mensaje contiene la URL que descargará una copia del gusano cuando el contacto haga clic en ella, perpetuando así el ciclo de infección.

Características del proceso hosts.exe

Las características técnicas de hosts.exe han sido documentadas por las fuentes de seguridad y proporcionan indicadores claros para su identificación. La ubicación del archivo en el sistema es el criterio más determinante para confirmar la infección.

Según BleepingComputer, la ubicación reportada para el archivo malicioso es la carpeta %Windir%. Esta variable del sistema apunta, por defecto, a C:\Windows en la mayoría de las versiones de Windows (95/98/ME/XP/Vista/7/10/11). Por su parte, Process Library señala que el archivo, si fuera legítimo, debería ubicarse en C:\Windows\System32\drivers\setup\hosts y advierte explícitamente que si se encuentra en otra ubicación, podría ser un troyano.

El malware se asegura de ejecutarse cada vez que el sistema se inicia, garantizando así la persistencia de la infección. Esto se logra mediante una entrada en las claves de ejecución automática del registro de Windows (Run, RunOnce, RunServices, o RunServicesOnce). El nombre de la entrada de inicio asociada a este proceso se identifica como «Windows Hosts», un nombre que evidentemente intenta hacerse pasar por un componente legítimo del sistema.

La entrada relacionada con este archivo en la base de datos de BleepingComputer ha sido solicitada más de 9,700 veces, lo que refleja la prevalencia de esta amenaza y la preocupación que genera entre los usuarios que la detectan en sus sistemas.

Software/programas asociados a hosts.exe

hosts.exe ha sido asociado exclusivamente con software malicioso. No existe documentación alguna que lo vincule a un programa legítimo o a un componente del sistema operativo Windows.

Según BleepingComputer, el archivo está directamente asociado al troyano Troj/Kelvir-O. ReviverSoft lo vincula con el gusano W32.Kelvir, que se propaga a través de MSN Messenger y libera variantes del gusano W32.Spybot. Process Library no asigna una calificación de seguridad definitiva al archivo, pero advierte que si no se encuentra en su ubicación esperada (C:\Windows\System32\drivers\setup\hosts), podría tratarse de un troyano.

Es importante diferenciar este archivo malicioso del archivo del sistema hosts (sin extensión.exe). El archivo hosts legítimo es un archivo de texto sin extensión ubicado en C:\Windows\System32\drivers\etc\ que utiliza Windows para resolver nombres de dominio a direcciones IP. Este archivo es completamente inofensivo y necesario para el funcionamiento del sistema. La presencia de un archivo con extensión.exe y nombre similar es el indicador de la amenaza.

Seguridad y riesgos potenciales hosts.exe

La presencia del proceso hosts.exe en un sistema Windows representa un riesgo de seguridad crítico. BleepingComputer es categórico al clasificarlo como un «programa indeseable» y recomienda explícitamente descargar Malwarebytes para realizar un escaneo gratuito y eliminar los programas maliciosos detectados.

El impacto potencial de una infección por este malware es severo y multifacético. Las capacidades documentadas del gusano W32.Kelvir incluyen:

  • Desactivación de software de seguridad: El malware intenta activamente terminar programas antivirus instalados en el equipo, dejando el sistema completamente expuesto a otras amenazas.
  • Propagación automática: El gusano utiliza la lista de contactos de MSN Messenger del usuario para enviar mensajes con enlaces maliciosos, propagándose rápidamente a otros equipos.
  • Instalación de malware adicional: El archivo descargado libera variantes del gusano W32.Spybot, que pueden tener capacidades adicionales como puertas traseras o robo de información.
  • Posible modificación del archivo hosts: Como se documenta en casos de malware similar, las amenazas que utilizan nombres relacionados con hosts a menudo intentan modificar el archivo hosts del sistema para redirigir sitios web legítimos a páginas maliciosas.

Ante la presencia de hosts.exe, la acción a tomar es clara e inmediata: debe ser eliminado. ReviverSoft recomienda que los usuarios ejecuten un análisis del sistema si sospechan de una infección por Win32.Kelvir, y que todos los archivos relacionados con este gusano deben ser eliminados de inmediato.

Cómo identificar si es legítimo hosts.exe

Para hosts.exe, no existe un escenario legítimo. Cualquier archivo con este nombre y extensión.exe debe ser tratado como malware. Las señales de alerta son claras:

  • Nombre del archivo: El propio nombre hosts.exe es un indicador de amenaza, ya que intenta suplantar al archivo hosts legítimo (que no tiene extensión.exe).
  • Ubicación del archivo: Si se encuentra en %Windir% (típicamente C:\Windows), es una confirmación de la infección por el troyano Kelvir-O. Process Library advierte que si no está en C:\Windows\System32\drivers\setup\hosts, podría ser un troyano.
  • Entradas en el registro: La presencia de una entrada llamada «Windows Hosts» en las claves de ejecución automática del registro es una confirmación de la infección.
  • Señales de alerta: Mensajes sospechosos enviados desde su cuenta de MSN Messenger o Windows Live Messenger sin su intervención, intentos de su antivirus de bloquear cambios en el archivo hosts, o la imposibilidad de ejecutar programas de seguridad.
  • Herramientas de verificación: El método más fiable para confirmar la amenaza es analizar el archivo en VirusTotal, donde será detectado por la práctica totalidad de los motores antivirus.

Prevención

La mejor defensa contra amenazas como hosts.exe es una combinación de buenas prácticas de seguridad y el uso de herramientas actualizadas. Dado que este malware se propaga principalmente a través de enlaces maliciosos enviados por aplicaciones de mensajería instantánea, es fundamental tener precaución con los enlaces recibidos, incluso si provienen de contactos conocidos.

Para mantener su sistema protegido, es recomendable no hacer clic en enlaces sospechosos recibidos a través de mensajería instantánea, incluso si parecen provenir de contactos de confianza. Verifique siempre con el remitente si el enlace fue enviado intencionadamente. Mantenga su software de seguridad actualizado, ya que un antivirus con definiciones al día puede detectar y bloquear este tipo de amenazas antes de que se ejecuten.

Si sospecha de una infección o ha identificado la presencia de hosts.exe en su sistema, BleepingComputer recomienda específicamente descargar Malwarebytes para realizar un escaneo gratuito y eliminar este tipo de programas maliciosos. Para una segunda opinión o para detectar spyware que a menudo acompañan a estas infecciones, puede utilizar Spybot Search & Destroy. Para un diagnóstico rápido de un archivo específico, también puede recurrir a servicios de Antivirus Online.

Adicionalmente, se recomienda revisar el archivo hosts del sistema (ubicado en C:\Windows\System32\drivers\etc\hosts) para verificar que no haya sido modificado por el malware. Un archivo hosts legítimo solo debería contener la línea 127.0.0.1 localhost y posiblemente algunas líneas de comentarios que comienzan con #.

Conclusión

hosts.exe es un nombre de archivo que, según el análisis convergente de múltiples fuentes de seguridad como BleepingComputer, ReviverSoft y Process Library, corresponde de forma inequívoca a un componente de software malicioso, específicamente el troyano Troj/Kelvir-O y el gusano W32.Kelvir. El nombre del archivo es una clara táctica de suplantación de identidad diseñada para confundir al usuario y hacerle creer que está relacionado con el archivo hosts legítimo del sistema.

Es crucial diferenciar este archivo malicioso del archivo del sistema hosts (sin extensión.exe), que es un componente legítimo e inofensivo de Windows. El archivo hosts es un simple archivo de texto utilizado para la resolución de nombres de dominio, mientras que hosts.exe es un ejecutable malicioso que intenta desactivar antivirus y propagarse a través de mensajería instantánea.

La acción recomendada ante la presencia de este archivo no es la eliminación manual, sino la ejecución de un análisis completo del sistema con herramientas de seguridad actualizadas como Malwarebytes. ReviverSoft enfatiza que todos los archivos relacionados con el gusano W32.Kelvir deben ser eliminados de inmediato. Este procedimiento es la forma más segura de confirmar la amenaza y eliminarla por completo, junto con cualquier otro componente malicioso que el gusano pudiera haber instalado.

Descargo de responsabilidad

Este artículo tiene fines informativos y no debe considerarse como un consejo técnico o profesional. Para obtener asistencia específica, consulta con un experto en tecnología o seguridad informática. Para más información, consulta nuestro descargo de responsabilidad.

Procesos