ویروس ها دوست دارند خود را به عنوان فرآیندهای قانونی ویندوز پنهان کنند. در اینجا برخی از داغ ترین اهداف برای بدافزارها آورده شده است.
فرآیندها بخشی اجتناب ناپذیر از ویندوز هستند و دیدن ده ها یا صدها مورد از آنها در Task Manager غیرعادی نیست. هر فرآیند یک برنامه یا بخشی از یک برنامه است که در حال اجرا است. متأسفانه، سازندگان بدافزار این را میدانند و نرمافزارهای مخرب را پشت نام فرآیندهای قانونی پنهان میکنند.
در اینجا برخی از رایج ترین فرآیندهای ربوده شده یا تکراری، به همراه مکان قرار گرفتن آنها و نحوه شناسایی یک نسخه مخرب آورده شده است.
1. Svchost.exe
Service Host یا svchost.exe یک فرآیند سرویس مشترک است. این به سرویس های مختلف ویندوز اجازه می دهد تا فرآیندها را به اشتراک بگذارند. این به کاهش استفاده از منابع کمک می کند و سیستم را کارآمدتر می کند. تقریباً مطمئناً بیش از یک نمونه از Svchost.exe را در Task Manager خواهید دید، اما این طبیعی است. اگر یک یا چند مورد از این فایل ها توسط بدافزار به خطر بیفتد، ممکن است متوجه کاهش مشخصی در عملکرد شوید.
فایل های Svchost قانونی باید در C:\Windows\System32 پیدا شوند. اگر مشکوک هستید که هک شده است، C:\Windows\Temp را بررسی کنید. اگر svchost.exe را در اینجا می بینید، ممکن است یک فایل مخرب باشد. فایل را با نرم افزار آنتی ویروس خود اسکن کنید و در صورت لزوم آن را قرنطینه کنید.
2. Explorer.exe
Explorer.exe مسئول پوسته گرافیکی است. بدون آن، نوار وظیفه، منوی استارت، مدیریت فایل یا حتی دسکتاپ نخواهید داشت. بنابراین، بخش ضروری ویندوز است و غیرفعال نمی شود.
چندین ویروس می توانند از نام فایل Explorer.exe برای مخفی شدن استفاده کنند، از جمله trojan.w32.ZAPCHAST. فایل قانونی در C:\Windows خواهد بود. اگر آن را در System32 پیدا کردید، حتما باید آن را با نرم افزار آنتی ویروس خود بررسی کنید.
3. Winlogon.exe
فرآیند Winlogon.exe بخشی ضروری از سیستم عامل ویندوز است. این برنامه مواردی مانند بارگیری نمایه کاربر در حین ورود به سیستم و قفل کردن رایانه هنگام اجرا شدن محافظ صفحه نمایش را کنترل می کند. متأسفانه، به دلیل اینکه عناصر امنیتی را کنترل می کند، Windows Logon و فرآیند winlogon.exe اهداف رایج تهدیدات هستند.
چندین ویروس تروجان، از جمله Vundo، می توانند در داخل یا به عنوان winlogon.exe پنهان شوند. محل معمول فایل Winlogon.exe C:\Windows\System32 است. اگر آن را در C:\Windows\WinSecurity پیدا کردید، ممکن است مخرب باشد. یکی از نشانههای خوب دال بر ربوده شدن این فرآیند، استفاده از حافظه زیاد است.
ویروس ها و بدافزارها فقط پشت فرآیندهای ویندوز پنهان نمی شوند. در اینجا چند روش دیگر وجود دارد که بدافزار می تواند شناسایی نشود و در رایانه شما پنهان شود.
4. Csrss.exe
زیرسیستم Client/Server Run-Time یا Csrss.exe یک فرآیند ضروری ویندوز است. اگرچه در نسخه های مدرن ویندوز به طور گسترده مورد استفاده قرار نمی گیرد، اما همچنان مورد نیاز سیستم است و نمی توان آن را غیرفعال کرد.
ویروس Nimda.E به تقلید از فرآیند Csrss.exe معروف است، اگرچه این تنها تهدید بالقوه نیست. فایل قانونی باید در پوشه های System32 یا SysWOW64 قرار گیرد. روی فرآیند Csrss.exe در Task Manager کلیک راست کرده و Open File Location را انتخاب کنید. اگر در جای دیگری قرار دارد، احتمالاً یک فایل مخرب است.
5. Lsass.exe
lsass.exe یک فرآیند ضروری است که مسئول سیاست امنیتی ویندوز است. این نام لاگین و رمز عبور را از جمله سایر روش های امنیتی تأیید می کند. بعید است که این روند ربوده شود. اگر به درستی اجرا نشود، معمولاً به طور خودکار از رایانه خود خارج می شوید. اما شناخته شده است که ویروس ها از نام فایل برای پنهان کردن استفاده می کنند.
به دنبال فایل Lsass.exe در C:\Windows\System32 بگردید. این تنها جایی است که باید آن را پیدا کنید. اگر آن را در مکان دیگری مانند C:\Windows\system یا C:\Program Files دیدید، با شک اقدام کنید و فایل را با آنتی ویروس خود اسکن کنید.
6. Services.exe
فرآیند Services.exe مسئول راه اندازی و توقف سرویس های ضروری مختلف ویندوز است. مانند سایر فرآیندهای ویندوز در این لیست، ویروس ها و بدافزارها آن را هدف قرار می دهند زیرا به آنها اجازه می دهد در دید ساده پنهان شوند.
اگر فایل ربوده شود، ممکن است در هنگام راه اندازی و خاموش شدن رایانه شخصی خود متوجه مشکلاتی شوید. به دنبال فایل Services.exe واقعی در پوشه System32 بگردید. اگر در جای دیگری مانند C:\Windows\ConnectionStatus قرار داشته باشد، ممکن است فایل یک ویروس باشد.
فرآیندهای ذکر شده در اینجا برای اجرای روان ویندوز ضروری هستند. اما همه اینطور نیستند و بسیاری از فرآیندهای غیر ضروری را حتی می توان برای کمک به عملکرد بسته کرد.
7. Spoolsv.exe
سرویس Windows Print Spooler یا Spoolsv.exe بخش مهمی از رابط چاپ است. در پسزمینه اجرا میشود و در صورت لزوم منتظر مدیریت مواردی مانند صف چاپ است. این فرآیند به اتصال چاپگر بستگی ندارد، بنابراین نباید از دیدن آن در Task Manager تعجب کنید.
شاید به این دلیل که Spoolsv.exe به راحتی نادیده گرفته می شود، یک ویروس می تواند نام خود را به خود بگیرد تا خود را قانونی جلوه دهد. فایل spools واقعی را می توان در C:\Windows\System32 پیدا کرد. فایل جعلی اغلب در C:\Windows یا در پوشه نمایه کاربر ظاهر می شود.
چگونه بررسی می کنید که آیا یک فرآیند قانونی است؟
وقتی به دنبال فعالیت مشکوک هستید، Task Manager دوست شماست. فرآیندهای آلوده اغلب به طور نامنظم رفتار می کنند و قدرت CPU و حافظه بیشتری نسبت به معمول مصرف می کنند. اما همیشه اینطور نیست، بنابراین در اینجا راههای دیگری برای بررسی مشروعیت یک فرآیند وجود دارد.
بیشتر فرآیندهای ضروری فهرست شده در اینجا فقط باید در پوشه System32 ظاهر شوند. به راحتی می توانید محل یک فایل مشکوک را در Task Manager بررسی کنید. روی فرآیند کلیک راست کرده و Open File Location را انتخاب کنید. مسیر پوشه ای که باز می شود را بررسی کنید تا مطمئن شوید که فایل در جای درست قرار دارد.
راه دیگر برای تشخیص قانونی بودن فایل، بررسی اندازه است. بیشتر فایلهای exe این فرآیندهای ضروری کمتر از 200 کیلوبایت خواهند بود. روی نام فرآیند در Task Manager کلیک راست کنید، Properties را انتخاب کنید و به اندازه آن نگاه کنید. اگر بهطور غیرمعمول بزرگ به نظر میرسد، نگاه دقیقتری به آن بیندازید تا بیخطر بودن آن را تعیین کنید.
همچنین می توانید گواهینامه فایل EXE را بررسی کنید. یک فایل معتبر دارای گواهی امنیتی صادر شده توسط مایکروسافت خواهد بود. اگر چیز دیگری مشاهده کردید، احتمالاً مخرب است.
آخرین کاری که باید انجام دهید این است که فایل های مشکوک را با یک اسکنر آنتی ویروس به روز اسکن کنید. هر فایلی را که به عنوان آلوده علامت گذاری شده است قرنطینه کرده و حذف کنید. خوشبختانه، نسخههای مدرن ویندوز دارای Microsoft Defender داخلی هستند، بنابراین یاد بگیرید که چگونه یک فایل یا پوشه را با Microsoft Defender اسکن کنید تا فایلهای مشکوکی را که پیدا میکنید بررسی کنید.
فرآیندهای ویندوز که ممکن است یک ویروس را پنهان کند
بخشی از ایمن نگه داشتن رایانه شخصی ویندوزی شما در برابر بدافزارها و ویروس ها این است که بدانید کجا مخفی می شوند. گاهی اوقات یک فایل مخرب با استفاده از CPU و حافظه بیش از حد، رفتار عجیبی دارد. اما نه همیشه. بنابراین شناسایی یک فایل مشکوک به روش های دیگر یک مهارت مفید است.