è possibile realizzare un processo ospitato su svchost?

1

Alcuni giorni fa mio fratellino ha scaricato un file dannoso che si è rivelato essere un minatore di Monero, la cosa strana è che funziona come un servizio di Windows e si trova su svchost (quello originale) quando lo uccidi. un BSOD, e se provate a "aprire il percorso del file", si dice svchost in system32, e ripeto non uno falso. Chiude Prompt dei comandi, Hacker di processo e Task Manager quando li apri e dopo che sono riuscito ad aprire Process Hacker ha mostrato "null" nel campo path del processo di cui sto parlando (l'ho trovato dal PID). Alla fine mi sono fermato rimuovendo la sua voce di programma e il file ad esso associato, ma non ho mai saputo come funzionava sotto svchost o dove si trovava il file originale. Qualcuno ha un'idea su come questo potrebbe essere fatto?

    
posta HMZ 31.05.2018 - 23:25
fonte

1 risposta

0

Sì, è possibile eseguire codice dannoso su svchost o qualsiasi altro processo di sistema se si dispone di privilegi sufficientemente elevati. Il codice dannoso può utilizzare una delle molte tecniche di iniezione per modificare un processo in esecuzione. Ciò ha il vantaggio di rendere più difficile (o quasi impossibile) rilevare o rimuovere senza arrestare il sistema. Nel tuo caso particolare, sembra probabile che tuo fratello sia stato infettato da WinstarNssmMiner . Anziché eseguire un processo che esegue in svchost.exe, lo genera come un processo di sistema privilegiato e quindi lo inietta nel codice:

It’s unclear what the WinstarNssmMiner infection path is, but once the malware executes on a targeted system it launches a system process called svchost.exe, a process that manages system services. Next, it injects malicious code into svchost.exe.

Il messaggio BSOD dice che un processo critico è morto? In tal caso, è probabile che il processo venga intenzionalmente contrassegnato come critico , quindi la sua terminazione farà cadere il sistema:

The svchost.exe process created for cryptomining has a process attribute of CriticalProcess, which means terminating the process crashes the system.

Questo malware è nuovo e si sta diffondendo attivamente in natura. Dovresti aggiornare le tue definizioni antivirus. Insegna a tuo fratello di scaricare solo file da fonti ufficiali e attendibili o configura il tuo sistema in modo che esegua solo eseguibili firmati . Si tratta di file contenenti una firma digitale incorporata che dimostra che è stata firmata da un'autorità di certificazione affidabile e attendibile da Microsoft.

    
risposta data 01.06.2018 - 03:52
fonte

Leggi altre domande sui tag