Визначаємо маскування вірусу під процес

визначаємо маскування вірусу під процес svchost.exe

Почнемо з того, що Generic Host Process for Win32 Services (а саме і є той самий svchost) представляє з себе системний процес, вселенски важливий в існуванні Windows, а саме тих служб, програм і сервісів системи, які використовують, так звані, DLL- бібліотеки.

Визначаємо маскування вірусу під процес


Цих самих svchost.exe і справді може бути в системі рішуче багато, адже службам і програмам досить важко дружно використовувати і возюкаться з одним процесом (їх то, служб, багато, а бідний беззахисний svchost зовсім один), а тому зазвичай системою запускаються кілька примірників сього щастя, але з різними номерами (ідентифікаторами процесу, якщо бути точним). Відповідно, кожен svchost.exe обслуговує свій набір служб і програм, а тому, в залежності від кількості їх в Windows, число цих самих процесів svchost може варіюватися від штуки до декількох десятків. Ще раз для тих хто не зрозумів: це процеси системи і чіпати їх не треба.
Але дійсно, бувають ситуації, коли під цей процес маскуються віруси (ще раз хочу загострити увагу: саме маскуються, саме віруси, а не сам процес є шкідливим). Давайте розбиратися як їх вичислити і що з ними робити.

розпізнаємо вірус svchost, а точніше гидоти під нього маскуються
Почнемо з того, що системний svchost.exe мешкає виключно в папці:
C: \ WINDOWS \ system32
C: \ WINDOWS \ ServicePackFiles \ i386
C: \ WINDOWS \ Prefetch
З: \ WINDOWS \ winsxs \ *


Де C: \ - диск куди встановлена ​​система, а * - довга назва папки на кшталт amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ ru-ru_f65efa35122fa5be
Якщо він знаходиться в будь-якому іншому місці, а особливо якимось дивом оселився в самій папці WINDOWS, то найбільш імовірно (майже 95,5%), що це вірус (за рідкісним винятком).
Наводжу кілька самих шляхів маскування вірусами під цей процес:


І кілька самих часто використовуваних назв файлів, вірусами маскуються під svchost.exe:

svсhost.exe (замість англійської "c" використовується російська "з")
svch0st.exe (замість "o" використовується нуль)
svchos1.exe (замість "t" використовується одиниця)
svcchost.exe (2 "c")
svhost.exe (пропущено "c")
svchosl.exe (замість "t" використовується "l")
svchost32.exe (до кінця додано "32")
svchosts32.exe (до кінця додано "s32")
svchosts.exe (до кінця додано "s")
svchoste.exe (до кінця додано "e")
svchostt.exe (2 "t" на кінці)
svchosthlp.exe (до кінця додано "hlp")
svehost.exe (замість "c" використовується "e")
svrhost.exe (замість "c" використовується "r")
svdhost32.exe (замість "c" використовується "d" + в кінець додано "32")
svshost.exe (замість "c" використовується "s")
svhostes.exe (пропущено "c" + в кінець додано "es")
svschost.exe (після "v" додано зайве "s")
svcshost.exe (після "c" додано зайве "s")
svxhost.exe (замість "c" використовується "x")
syshost.exe (замість "vc" використовується "ys")
svchest.exe (замість "o" використовується "e")
svchoes.exe (замість "st" використовується "es")
svho0st98.exe
ssvvcchhoosst.exe

Подивитися назва файлу можна в диспетчері завдань, хоча я рекомендую відразу використовувати Process Explorer, благо, використовуючи його, можна відразу подивитися шляху та іншу інформацію просто зробивши подвійний клік по процесу в списку.