Utilisation de l’encodage des couleurs pour l’identification des logiciels malveillants
En comprenant ce code couleur, les utilisateurs peuvent rapidement identifier les menaces potentielles dans leurs systèmes. Les processus de couleur violette doivent être examinés plus en détail pour s’assurer qu’ils ne sont pas des logiciels malveillants, tandis que les autres processus doivent également être surveillés en fonction de leur contexte et de leur comportement.
L’utilisation de cette fonctionnalité dans Process Explorer permet aux utilisateurs d’effectuer une analyse approfondie de l’activité du système et de prendre les mesures préventives nécessaires pour protéger l’ordinateur contre les menaces malveillantes.
Vérification SVCHOST.EXE présence de logiciels malveillants
Les logiciels malveillants tentent souvent d’imiter le processus svchost.exe, car il s’agit d’un composant essentiel du système d’exploitation Windows qui exécute les services système. Étant donné que de nombreux utilisateurs et logiciels de sécurité reconnaissent svchost.exe comme un processus légitime, le logiciel malveillant en profite pour cacher son existence.
Les processus svchost.exe ont généralement de nombreuses instances exécutées en arrière-plan, ce qui rend plus difficile la détection des processus non autorisés. Les logiciels malveillants déguisés en svchost.exe peuvent échapper à la détection en utilisant un nom similaire ou en opérant sous des comptes d’utilisateurs inhabituels.
Comment utiliser l’icône [+] à gauche d’un processus pour voir les sous-processus qui peuvent être des logiciels malveillants
- Exécutez l’application Process Explorer sur votre ordinateur.
- Recherchez dans la liste des processus et recherchez toutes les instances de svchost.exe. Vous verrez plusieurs entrées pour ce processus.
- À gauche du nom du processus svchost.exe, vous verrez l’ icône [+]. Cette icône indique que le processus comporte des sous-processus qui peuvent être examinés plus en détail.
- Cliquez sur l’ icône [+] pour développer la vue et voir les sous-processus associés à cette instance svchost.exe. Il affichera tous les sous-processus susceptibles d’être des logiciels malveillants.
- Vérifiez ces sous-processus pour voir si quelque chose est suspect ou inconnu. Si vous trouvez un sous-processus avec un nom inhabituel ou inconnu, cela peut être une indication de logiciel malveillant.
Vérification de l’authenticité du processus de SVCHOST.EXE
Pour vérifier l’authenticité du processus svchost.exe, la première étape consiste à activer la colonne qui affiche le compte d’utilisateur qui a exécuté le processus. Voici les étapes à suivre :
- Exécutez l’application Process Explorer sur votre ordinateur.
- En haut de la fenêtre Process Explorer, cliquez avec le bouton droit de la souris sur le titre de la colonne pour ouvrir le menu contextuel.
- Dans le menu qui apparaît, sélectionnez l’option « Select Columns. ».
- Dans la boîte de dialogue qui s’affiche, recherchez et cochez l’ option UserName. Après cela, cliquez sur OK pour fermer la boîte de dialogue.
- Vous verrez maintenant une nouvelle colonne dans la liste des processus qui affiche le compte d’utilisateur pour chaque processus en cours d’exécution.
Nom d’utilisateur valide pour SVCHOST.EXE processus
Tous les processus originaux svchost.exe s’exécutent sous l’un des trois noms d’utilisateur suivants :
- NT AUTHORITY\SYSTEM
- LOCAL SERVICE
- NETWORK SERVICE
Si vous trouvez une instance de svchost.exe exécutée sous un autre nom d’utilisateur, cela peut indiquer qu’il s’agit d’un programme malveillant.