Sí, es posible ejecutar código malicioso en svchost o en cualquier otro proceso del sistema si tiene privilegios suficientemente altos. El código malicioso puede usar una de las técnicas de inyección para modificar un proceso en ejecución. Esto tiene la ventaja de hacer que sea más difícil (o casi imposible) detectar o eliminar sin que el sistema se bloquee. En su caso particular, parece probable que su hermano se haya infectado con WinstarNssmMiner . En lugar de hacer que un proceso se ejecute bajo svchost.exe, lo genera como un proceso de sistema privilegiado benigno y luego inyecta código malicioso en él:
No está claro cuál es la ruta de infección de WinstarNssmMiner, pero una vez que el malware se ejecuta en un sistema específico, inicia un proceso del sistema llamado svchost.exe, un proceso que administra los servicios del sistema. A continuación, inyecta código malicioso en svchost.exe.
¿El mensaje de BSOD dice que un proceso crítico había muerto? Si es así, es probable que esto se deba a que el proceso se marque intencionalmente como crítico , por lo que Su finalización hará que el sistema baje:
El proceso svchost.exe creado para cryptomining tiene un atributo de proceso de CriticalProcess, lo que significa que la terminación del proceso bloquea el sistema.
Este malware es nuevo y se está propagando activamente en la naturaleza. Debe actualizar sus definiciones de antivirus. Enseñe a su hermano a que solo descargue archivos de fuentes oficiales y confiables, o configure su sistema para que solo ejecute ejecutables firmados . Estos son archivos que contienen una firma digital incrustada que demuestra que fue firmada por una autoridad de certificación acreditada en la que Microsoft confía.