Potresti usare svchost per eseguire qualsiasi servizio?

1

È possibile se per esempio hai installato un "male_service", per usare svchost per eseguirlo? Funzionerà?

    
posta 0siris 22.06.2018 - 00:23
fonte

1 risposta

1

Sì, è possibile e sono noti attacchi basati sul file / servizio svchost.exe.

I processi di Windows sono essenziali per il normale funzionamento del sistema operativo. Alcuni processi richiedono privilegi o risorse speciali, che un utente normale potrebbe non avere. Questo è esattamente ciò che gli scrittori di malware stanno cercando. I seguenti sono processi comunemente usati dai malware ( Source : link ):

svchost.exe - Un processo di sistema che ospita più servizi Windows nella famiglia di sistemi operativi Windows NT. Svchost è essenziale nell'implementazione di processi di servizi condivisi, in cui un numero di servizi può condividere un processo per ridurre il consumo di risorse.

explorer.exe - Precedentemente noto come Windows Explorer, si tratta di un'applicazione di gestione file, inclusa nelle versioni del sistema operativo Microsoft Windows da Windows 95 in poi. Fornisce un'interfaccia grafica per l'accesso ai file system. È anche il componente del sistema operativo, che presenta molti elementi dell'interfaccia utente sul monitor come la barra delle applicazioni e il desktop.

Sdbinst.exe : questo processo fa parte del Microsoft Desktop Optimization Pack (MDOP), che contiene Application Virtualization (App-V). MDOP consente all'utente di rendere le applicazioni disponibili per i clienti senza installarli direttamente sui loro computer. App-V trasforma le applicazioni in servizi gestiti centralmente che non vengono mai installati e non entrano in conflitto con altre applicazioni.

Sdbinst.exe consente al creatore dell'applicazione di inviare aggiornamenti tramite file .sdb. Il processo gestisce questo comportamento servendo da middleware tra l'applicazione e il sistema operativo. A tale scopo, sdbinst.exe esegue il codice ricevuto dal creatore con i privilegi di amministratore.

Inoltre puoi riferirti al sito sottostante per vedere come un utente malintenzionato si nasconde dietro un processo legittimo di Windows: link

    
risposta data 22.06.2018 - 02:16
fonte