¿Es posible si, por ejemplo, instaló un "servicio de mal" para usar svchost para ejecutarlo? ¿Ejecutará algún servicio?
Sí, es posible y existen ataques conocidos basados en el archivo / servicio svchost.exe.
Los procesos de Windows son esenciales para el funcionamiento habitual del sistema operativo. Algunos procesos requieren privilegios o recursos especiales, que un usuario regular puede no tener. Esto es exactamente lo que los escritores de malware están buscando. Los siguientes son procesos comúnmente utilizados por malwares ( Fuente : enlace ):
svchost.exe : proceso del sistema que aloja múltiples servicios de Windows en la familia de sistemas operativos Windows NT. Svchost es esencial en la implementación de procesos de servicio compartido, donde varios servicios pueden compartir un proceso para reducir el consumo de recursos.
explorer.exe - Anteriormente conocido como Explorador de Windows, esta es una aplicación de administrador de archivos, incluida en las versiones del sistema operativo Microsoft Windows a partir de Windows 95. Proporciona una interfaz gráfica de usuario para acceder a los sistemas de archivos. También es el componente del sistema operativo, que presenta muchos elementos de la interfaz de usuario en el monitor, como la barra de tareas y el escritorio.
Sdbinst.exe : este proceso forma parte del Paquete de optimización de escritorio de Microsoft (MDOP), que contiene Application Virtualization (App-V). MDOP permite al usuario hacer que las aplicaciones estén disponibles para los clientes sin instalarlas directamente en sus computadoras. App-V transforma las aplicaciones en servicios administrados centralmente que nunca se instalan y no entran en conflicto con otras aplicaciones.
Sdbinst.exe permite al creador de la aplicación enviar actualizaciones a través de archivos .sdb. El proceso gestiona este comportamiento sirviendo como middle-ware entre la aplicación y el sistema operativo. Para este propósito, sdbinst.exe ejecuta el código recibido del creador con privilegios de administrador.
Además, puede consultar el siguiente sitio para ver cómo un atacante se oculta tras un proceso de Windows legítimo: enlace
Lea otras preguntas en las etiquetas vulnerability vulnerability-assessment vulnerability-management