Procesi na Windowsima nešto su neizbježno kako bi radio cjelokupni sustav i nije neobično da unutar Task Managera vidite kako se odvija njih desetak pa i stotinu. Svaki proces je program ili dio programa koji je u radu te je aktivan. Nažalost, stvaratelji malwarea ovo znaju i njihova namjera uvijek će biti skrivanje malicioznog softvera iza naziva legitimnih procesa.
U nastavku ćemo navesti neke od osnovnih Windows procesa koji se obično kompromitiraju te uputiti vas na njihove lokacije kako bi mogli napraviti provjeru.
-
Svchost.exe
Service host ili Svchost.exe je proces koji omogućuje različitim Windows servisima dijeljenje procesa. Pomoću njega se reducira potrošnja resursa te je na taj način sustav mnogo efikasniji. Ako otvorite Task Manager, vjerojatno ćete vidjeti nekoliko Svchost.exe procesa, no to je sasvim normalna pojava. Ako je neki od ovih procesa kompromitiran od strane malwarea, primijetit ćete vidljivo smanjenje izvedbe.
Legitimne Svchcost datoteke mogu se naći na sljedećoj lokaciji: C:\Windows\System32. Ako sumnjate da je došlo do zaraze malwareom, provjerite C:\Windows\Temp lokaciju i pokušajte ondje uočiti svchost.exe datoteku. U slučaju da ste je pronašli, moglo bi se raditi o malwareu i odmah provedite potrebna skeniranja te primijenite karantenu za navedenu datoteku.
-
Explorer.exe
Explorer.exe je proces vezan uz grafičke elemente. Bez njega ne bi bilo programske trake, Start izbornika, File Managera ili desktopa. Zbog toga se može reći kako je Explorer.exe proces koji je esencijalni dio Windowsa te ga se ne može onemogućiti.
Nekoliko virusa može iskoristiti Explorer.exe naziv datoteke kako bi se sakrili iza njega, a najpoznatiji je trojan.w32.ZAPCHAST. Legitimna datoteka može se naći pod C:\Windows lokacijom. Ako primijetite da se Explorer.exe datoteka nalazi unutar System32 mape, preporučuje se njena provjera s antivirusnim programom.
-
Winlogon.exe
Winlogon.exe proces važan je dio Windows operativnog sustava. Upravlja raznim elementima kao što su učitavanje korisničkog profila tijekom prijave ili zaključavanje računala.
Nažalost, Winlogon.exe česta je meta napada pošto se radi o procesu koji upravlja sigurnosnim aspektima Windowsa.
Nekoliko virusa, uključujući Vundo koji je jedan od poznatijih, može biti skriveno pod nazivom winlogon.exe. Uobičajena lokacija Winlogon.exe datoteke je sljedeća: C:\Windows\System32. Ako je slučajno nađete na lokaciji C:\Windows\WinSecurity, mogla bi biti maliciozna. Jedan od jasnih znakova da je datoteka zaražena obično je velika potrošnja memorije.
-
Csrss.exe
Client/Server Run-Time Subsystem ili Csrss.exe također je vrlo važan proces na Windowsima. Njegova je zadaća upravljanje grafičkim elementima u Windowsima. Iako ga se u modernim Windows verzijama ne koristi toliko često, on je i dalje sastavni dio operativnih sustava te česta meta malwarea napada.
Nimda.E virus poznat je po tome da oponaša Csrss.exe proces, no nije u tome jedini. Legitimna Csrss.exe datoteka treba biti locirana pod System32 ili SysWOW64 mapama.
Provjeru navedenog možete napraviti putem Task Managera na način da kliknete desnom tipkom miša na Scrss.exe i odaberete „Open File Location“. Ako je datoteka locirana unutar nekih drugih mapa, moglo bi se raditi o zarazi malwareom.
-
Lsass.exe
Lsass.exe je proces zadužen za upravljanje sigurnosnim aspektima Windowsa. On verificira korisničko ime i lozinku te obavlja još neke sigurnosne procedure. Ako ne radi ispravno, bit ćete automatski odjavljeni s računala pa do zaraza malwareom ne dolazi toliko često. Ovaj smo proces izdvojili jer se u nekim situacijama malware ipak zna skrivati iza samog naziva.
Lsass.exe proces potražite na sljedećoj lokaciji: C:\Windows\System32. Ovo je jedino mjesto na kojem bi trebao biti. U slučaju da se radi o nekoj drugoj lokaciji, svakako skenirajte datoteku i napravite provjere.
-
Services.exe
Services.exe proces zadužen je za pokretanje i zaustavljanje važnih Windows servisa. Kao što je slučaj i kod nekih drugih procesa s ovog popisa, Services.exe ciljana je meta malware napada jer im omogućava dobru poziciju za plasiranje kompromitiranih datoteka.
Ako je došlo do zaraze Services.exe procesa, mogli bi primijetiti probleme vezane uz pokretanje i gašenje vašeg PC-ja. Services.exe datoteku potražite unutar System32 mape. Ako je locirana na drugim mjestima kao što je C:\Windows\ConnectionStatus, moglo bi se raditi o zarazi malwareom.
-
Spoolsv.exe
Windows Print Spooler Service ili Spoolsv.exe je važan dio sučelja kod ispisivanja dokumenata. Radi u pozadini sučelja te upravlja pojedinim naredbama, a kao primjer se može dati raspored dokumenata za ispisivanje. Sam proces nije ovisan o tome ako je pisač spojen na vaše računalo pa ćete ga često moći primijetiti u Task Manageru.
Virusi i ostali malware često znaju iskoristiti naziv procesa jer se preko njega lako prolazi i često ga se ne primjećuje. Legitimna Spoolsv.exe datoteka nalazi se na sljedećoj lokaciji: C:\Windows\System32. Njezine lažne i kompromitirane verzije nalazit će se na drugim lokacijama.
Kako provjeriti ako je proces legitiman?
Task Manager bit će vam najbolji prijatelj kad se govori o utvrđivanju sumnjivih aktivnosti kod procesa na Windowsima. Inficirani proces često će se ponašati nepravilno te će crpiti više resursa procesora i memorije nego inače. Iako su ovo vidljivi problemi, to ne znači da će malware uvijek funkcionirati na sličan način.
Većina osnovnih i važnih procesa na Windowsima koje smo prethodno naveli u tekstu nalazit će se unutar System32 mape. Provjera lokacije zbog toga je važan dio na koji se mora obratiti pozornost i ona se obavlja tako da unutar Task Managera kliknete desnom tipkom miša na proces te odaberete „Open File Location“.
Još jedan koristan način provjere ako se radi o legitimnoj datoteci je provjera njene veličine. Većina „.exe“ datoteka navedenih procesa imat će ispod 200 KB. Kliknite desnom tipkom miša na određeni proces u Task Manageru, odaberite opciju „Properties“ i provjerite veličinu. Ako datoteka prelazi 200 KB i podaci o njenoj veličini vam se čine neobični, svakako je skenirajte.
Još jedna karakteristika legitimnih procesa na Windowsima je provjera njihovog certifikata. Autentične datoteke imat će sigurnosne certifikate koje je izdao Microsoft. Unutar Task Managera kliknite na pojedini proces desnom tipkom miša te odaberite „Properties“. Pod tabom „Digital Signatures“ provjerite ako za isti proces postoji Microsoftov certifikat.
Zadnja stvar koja se preporučuje je skeniranje datoteke pomoću nekog od antivirusnih programa koji moraju biti ažurirani. Novije verzije Windowsa srećom dolaze s Microsoft Defenderom pa skeniranje možete u svakom trenutku odraditi.
Piše: Ervin Mičetić