Diagnosticando un posible hilo svchost.exe en Windows 7

2

Usé win64dd.exe para obtener una imagen de memoria en una computadora de 64 bits que ejecuta Windows 7 y Mandiant Redline analizó la imagen. Una de las cosas marcadas en rojo fue uno de los procesos svchost.exe. Redline dice

This process has a module which imports a suspicious Handle: (Process) hkcmd.exe
"svchost.exe has potentially spawned a command shell.  This is abnormal, and may be an
indicator of malicious activity.".

¿Cómo debo proceder desde aquí? ¿Hay alguna manera de exportar información sobre este proceso y subirla a algún sitio web para analizarla más a fondo?

Haré que Norton escanee la computadora y vea si encuentra algo (además de rastrear cookies).

    
pregunta yakiv 04.08.2012 - 04:58
fuente

1 respuesta

1

La creación de un shell generalmente significa que alguien lanzó un exploit de shell inverso en tu proceso.

Haz un volcado de memoria del proceso:

procdump -mp <processID>

Esto podría llevar a un sistema inestable, así que guarda tu trabajo y cierra todas las aplicaciones primero.

Desde allí, puede cargar el volcado en WinDbg y analizarlo. Sin embargo, esto no es un proceso trivial, incluso configurar WinDbg puede ser un dolor si nunca lo has hecho antes. Si puedes subirlo a algún lugar (¿Dropbox público?) Probablemente pueda echar un vistazo y descubrir qué está pasando.

    
respondido por el Polynomial 04.08.2012 - 10:24
fuente

Lea otras preguntas en las etiquetas