Virusi vole da se maskiraju u legitimne Windows procese. Navešćemo vam neke od najomiljenijih meta zlonamernih softvera.
Procesi su nezaobilazni deo operativnog sistema Windows i sasvim je uobičajeno da ih vidimo na desetine ili stotine u alatu Task Manager. Svaki proces je program ili deo programa koji je pokrenut. Nažalost, kreatori zlonamernih softvera to znaju i poznato je da skrivaju zlonamerni softver iza imena legitimnih procesa. Navešćemo neke od najčešće iskorišćenih ili dupliranih procesa, zajedno sa tim gde bi trebalo da se nalaze i kako da uočite zlonamernu verziju.
1. Svchost.exe
Service Host, ili svchost.exe, je generičko ime domaćina procesa za servise koji se pokreću iz biblioteka dinamičkih veza. Omogućava raznim drugim Windows uslugama da dele procese, što pomaže da se smanji upotreba resursa, zbog čega je sistem efikasniji. Sasvim sigurno ćete videti više od jednog primera Svchost.exe u programu Task Manager, što je potpuno normalno. Ako je jedna datoteka zaražena zlonamernim softverom ili više njih, verovatno ćete primetiti značajno smanjenje kvaliteta funkcionisanja.
Legitimne datoteke Svchost treba da se nalaze u C:\Windows\System32. Ako sumnjate da je neka od njih ugrožena, proverite C:\Windows\Temp. Ako tu uočite svchost.exe, to može da bude zlonamerna datoteka. Skenirajte datoteku pomoću antivirusnog softvera i stavite je u karantin ako je potrebno.
2. Explorer.exe
Explorer.exe je odgovoran za grafiku ili graphical shell. Bez toga ne biste imali traku zadataka, meni Start, File Manager, pa čak ni radnu površinu. Zbog toga je suštinski deo operativnog sistema Windows i ne može se onemogućiti.
Nekoliko virusa može da koristi naziv datoteke Explorer.exe da bi se tako sakrili, a među njima ćemo spomenuti trojan.w32.ZAPCHAST. Legitimna datoteka će biti u C:\Windows. Ako je pronađete u System32, svakako je proverite pomoću antivirusnog softvera.
3. Winlogon.exe
Winlogon.exe proces je suštinski deo operativnog sistema Windows. Zadužen je za nekoliko procedura, kao što su učitavanje korisničkog profila tokom prijavljivanja i zaključavanja računara kada se pokreće čuvar ekrana. Nažalost, pošto obrađuje bezbednosne elemente, prijavljivanje na Windows i proces winlogon.exe su uobičajene mete za zlonamerne postupke.
Nekoliko trojanskih virusa, uključujući Vundo, mogu da se sakriju u winlogon.exe ili da se preruše u njega. Uobičajena lokacija datoteke Winlogon.exe je C:\Windows\System32. Ako je pronađete u C:\Windows\ WinSecurity, možda je u pitanju zlonamerni softver. Jedan dobar pokazatelj da je proces napadnut je neobično velika upotreba memorije.
Virusi i zlonamerni softveri se ne kriju samo iza Windows procesa. Navešćemo još neke druge načine na koje zlonamerni softver može da ostane sakriven na računaru.
4. Csrss.exe
Podsistem klijent/server za vreme izvršavanja, ili Csrss.exe, je suštinski Windows proces. Iako se ne koristi toliko mnogo u modernim verzijama operativnog sistema Windows, sistemu je i dalje potreban i ne može se onemogućiti.
Poznato je da virus Nimda.E oponaša proces Csrss.exe, iako to nije jedina potencijalna pretnja. Legitimna datoteka treba da se nalazi u fascikli System32 ili SysWOW64. Kliknite desnim tasterom miša na proces Csrss.exe u alatu Task Manager i izaberite Open File Location. Ako se nalazi na nekom drugom mestu, verovatno je u pitanju zlonamerna datoteka.
5. Lsass.exe
Lsass.exe je suštinski proces odgovoran za bezbednosne procedure u operativnom sistemu Windows. Pored ostalih bezbednosnih procedura, proverava korisničko ime i lozinku. Malo je verovatno da će proces biti napadnut. Ako ne radi ispravno, obično ćete biti automatski odjavljeni sa računara. Ipak, poznato je da virusi koriste naziv datoteke da bi se iza njega sakrili.
Potražite datoteku Lsass.exe u C:\Windows\System32. Jedino bi tu trebalo da je pronađete. Ako je primetite na drugoj lokaciji, kao što je C:\Windows\system ili C:\Program Files, preduzmite sve potrebne korake i skenirajte datoteku antivirusnim programom.
6. Services.exe
Proces Services.exe je odgovoran za pokretanje i zaustavljanje različitih bitnih Windows usluga. Kao i u slučaju drugih Windows procesa koje smo naveli, i on je na meti virusa i zlonamernih softvera, jer im omogućava da se sakriju takoreći nama pred nosom.
Ako je datoteka napadnuta, verovatno ćete primetiti probleme tokom pokretanja i isključivanja računara. Potražite pravu datoteku Services.exe u fascikli System32. Ako se nalazi na nekom drugom mestu, na primer u C:\Windows\ConnectionStatus, datoteka bi mogla biti virus.
Procesi koji se ovde spominju su od suštinskog značaja za nesmetan rad operativnog sistema Windows. Ipak, postoje i oni koji nisu važni i mogli biste da ih zatvorite da bi računar boje funkcionisao.
7. Spoolsv.exe
Windows Print Spooler Service, ili Spoolsv.exe, je važan deo interfejsa za štampanje. Radi u pozadini i u pripravnosti je ako treba da upravlja postupcima, kao što je red za štampanje kada je to potrebno. Proces ne zavisi od toga da li je štampač povezan, tako da ne treba da se iznenadite ako ga vidite u programu Task Manager.
S obzirom na to da lako možete da previdite proces Spoolsv.exe, virus može da se sakrije iza naziva datoteke da bi sve izgledao legitimno. Prava spool datoteka se može naći u C:\Windows\System32. Lažna datoteka će se često pojaviti u C:\Windows ili u fascikli korisničkog profila.
Kako da proverite da li je proces legitiman?
Task Manager je vaš prijatelj kada tražite sumnjive aktivnosti. Zaraženi procesi će se često ponašati neuredno, koristiće više energije i memorije procesora nego što je uobičajeno. Ipak, to nije uvek slučaj. Zbog toga ćemo navesti još nekoliko postupaka kojima možete da proverite da li je proces legitiman.
Većina osnovnih procesa koje smo naveli treba da se pojavljuje samo u fascikli System32. Lako možete da proverite lokaciju sumnjive datoteke u programu Task Manager. Kliknite desnim tasterom miša na proces i izaberite Open File Location. Proverite putanju fascikle koja se otvara da biste bili sigurni da je datoteka na pravom mestu.
Drugi način da utvrdite da li je datoteka legitimna je da proverite veličinu. Većina .exe datoteka tih osnovnih procesa biće manja od 200 kb. Kliknite desnim tasterom miša na ime procesa u programu Task Manager, izaberite Properties i pogledajte veličinu. Ako izgleda da je neuobičajeno veliki, proverite još jednom da biste utvrdili da li je sve u redu.
Možete da proverite i sertifikat EXE datoteke. Autentična datoteka će imati bezbednosni sertifikat koji izdaje kompanija Microsoft. Ako vidite još nešto, verovatno je u pitanju neki zlonamerni softver.
Konačno, možete i da skenirate sumnjive datoteke pomoću ažuriranog antivirusnog skenera. Stavite u karantin i uklonite sve datoteke koje su označene kao zaražene. Na sreću, moderne verzije operativnog sistema Windows imaju ugrađen program Microsoft Defender, koji je veoma jednostavan za korišćenje.
Windows procesi koji mogu da kriju virus
Izuzetno je korisno da znate gde bi mogli da se sakriju zlonamerni softveri i virusi kad od njih treba da zaštitite Windows računar. Ponekad će se zlonamerna datoteka ponašati čudno, pri čemu će koristiti suviše procesora i memorije, ali to ne mora uvek da bude slučaj. Dakle, ne bi bilo loše da ovladate različitim postupcima koji će vam omogućiti da uočite sumnjivu datoteku.