Sì, è possibile eseguire codice dannoso su svchost o qualsiasi altro processo di sistema se si dispone di privilegi sufficientemente elevati. Il codice dannoso può utilizzare una delle molte tecniche di iniezione per modificare un processo in esecuzione. Ciò ha il vantaggio di rendere più difficile (o quasi impossibile) rilevare o rimuovere senza arrestare il sistema. Nel tuo caso particolare, sembra probabile che tuo fratello sia stato infettato da WinstarNssmMiner . Anziché eseguire un processo che esegue in svchost.exe, lo genera come un processo di sistema privilegiato e quindi lo inietta nel codice:
It’s unclear what the WinstarNssmMiner infection path is, but once the malware executes on a targeted system it launches a system process called svchost.exe, a process that manages system services. Next, it injects malicious code into svchost.exe.
Il messaggio BSOD dice che un processo critico è morto? In tal caso, è probabile che il processo venga intenzionalmente contrassegnato come critico , quindi la sua terminazione farà cadere il sistema:
The svchost.exe process created for cryptomining has a process attribute of CriticalProcess, which means terminating the process crashes the system.
Questo malware è nuovo e si sta diffondendo attivamente in natura. Dovresti aggiornare le tue definizioni antivirus. Insegna a tuo fratello di scaricare solo file da fonti ufficiali e attendibili o configura il tuo sistema in modo che esegua solo eseguibili firmati . Si tratta di file contenenti una firma digitale incorporata che dimostra che è stata firmata da un'autorità di certificazione affidabile e attendibile da Microsoft.