¿es posible realizar un proceso alojado en svchost?

1

Hace unos días, mi hermanito descargó un archivo malicioso que resultó ser un minero de Monero, lo extraño de esto es que se ejecuta como un servicio de Windows y está alojado en svchost (el original) cuando lo matas. un BSOD, y si intentas "abrir la ubicación del archivo" dice svchost en system32, y no repito uno falso. Cierra el símbolo del sistema, el pirata informático de procesos y el administrador de tareas cuando los abres y, después de que logré abrir el pirata informático de procesos, apareció "nulo" en el campo de ruta del proceso del que estoy hablando (lo encontré en el PID). Finalmente me detuve eliminando su entrada de programación y el archivo asociado, pero nunca descubrí cómo se estaba ejecutando bajo svchost o dónde estaba el archivo original. ¿Alguien tiene una idea de cómo podría hacerse esto?

    
pregunta HMZ 31.05.2018 - 23:25
fuente

1 respuesta

0

Sí, es posible ejecutar código malicioso en svchost o en cualquier otro proceso del sistema si tiene privilegios suficientemente altos. El código malicioso puede usar una de las técnicas de inyección para modificar un proceso en ejecución. Esto tiene la ventaja de hacer que sea más difícil (o casi imposible) detectar o eliminar sin que el sistema se bloquee. En su caso particular, parece probable que su hermano se haya infectado con WinstarNssmMiner . En lugar de hacer que un proceso se ejecute bajo svchost.exe, lo genera como un proceso de sistema privilegiado benigno y luego inyecta código malicioso en él:

  

No está claro cuál es la ruta de infección de WinstarNssmMiner, pero una vez que el malware se ejecuta en un sistema específico, inicia un proceso del sistema llamado svchost.exe, un proceso que administra los servicios del sistema. A continuación, inyecta código malicioso en svchost.exe.

¿El mensaje de BSOD dice que un proceso crítico había muerto? Si es así, es probable que esto se deba a que el proceso se marque intencionalmente como crítico , por lo que Su finalización hará que el sistema baje:

  

El proceso svchost.exe creado para cryptomining tiene un atributo de proceso de CriticalProcess, lo que significa que la terminación del proceso bloquea el sistema.

Este malware es nuevo y se está propagando activamente en la naturaleza. Debe actualizar sus definiciones de antivirus. Enseñe a su hermano a que solo descargue archivos de fuentes oficiales y confiables, o configure su sistema para que solo ejecute ejecutables firmados . Estos son archivos que contienen una firma digital incrustada que demuestra que fue firmada por una autoridad de certificación acreditada en la que Microsoft confía.

    
respondido por el forest 01.06.2018 - 03:52
fuente

Lea otras preguntas en las etiquetas