Identificar processos de malware é muito importante para manter o sistema Windows 11 seguro. O malware pode causar uma variedade de problemas sérios, como roubo de dados, lentidão de desempenho e até danos ao sistema.
Seguindo as etapas que serão explicadas, você poderá identificar processos de malware com rapidez e precisão usando as ferramentas certas. Isso ajudará você a manter seu sistema seguro, estável e livre de ameaças de malware maliciosas.
Entendendo o malware e seu processo
Malware significa Malicious Software é um software malicioso projetado para danificar, interromper ou obter acesso não autorizado a sistemas de computador. Os tipos de malware incluem vírus, worms, trojans, ransomware e spyware. O impacto do malware pode ser devastador, incluindo:
- O malware pode roubar informações confidenciais, como senhas, números de cartão de crédito e outros dados pessoais.
- Alguns malwares podem danificar arquivos importantes do sistema, causando danos permanentes ao hardware ou software.
- A presença de malware pode diminuir significativamente o desempenho do sistema devido ao uso excessivo de recursos.
- Alguns tipos de malware permitem que os invasores assumam o controle do sistema remotamente, dando-lhes acesso total para realizar ações maliciosas.
O malware geralmente é projetado para operar furtivamente e monitorar uns aos outros. Isso significa que, se um processo de malware for interrompido ou encerrado, o outro processo o detectará e tentará reiniciar o processo paralisado.
Esse processo envolve várias técnicas, como:
1. Uso de processos ocultos
O malware geralmente se disfarça usando nomes de processo semelhantes a processos legítimos do sistema (por exemplo, svchost.exe). Isso dificulta a detecção de usuários casuais, bem como de software de segurança.
2. Ocultação de código
Muitos malwares usam técnicas de compactação ou empacotamento para ocultar seu código de scanners antivírus. Desta forma, eles podem operar sem serem detectados.
3. Mecanismo de recuperação
Se o malware detectar que uma de suas instâncias foi encerrada, ele poderá reiniciar automaticamente o processo para garantir a continuidade de suas operações. Isso cria uma rede de processos que monitoram uns aos outros e se protegem.
Conheça Process Explorer do Microsoft Sysinternals.
Process Explorer é uma ferramenta poderosa desenvolvida pela Microsoft Sysinternals para auxiliar os usuários no monitoramento e gerenciamento de processos em execução em sistemas Windows. A ferramenta fornece informações detalhadas sobre cada processo, incluindo seu nome, ID do processo, uso de CPU e memória e caminho do arquivo de execução.
Um dos principais recursos do Process Explorer é sua capacidade de destacar processos suspeitos ou potencialmente prejudiciais, como malware, usando diferentes códigos de cores. Assim, os usuários podem identificar e agir facilmente contra processos indesejados.
Como baixar e instalar o Process Explorer
1. Baixe Process Explorer:
- Visite o site oficial do Microsoft Sysinternals.
- Procure a seção Process Explorer e clique no link de download.
- O arquivo de download geralmente é um arquivo ZIP.
2. Instale Process Explorer:
- Extraia o arquivo ZIP baixado para o local desejado em seu computador.
- Abra a pasta extraída e procure um arquivo chamado procexp.exe ou procexp64.exe (dependendo da sua versão do Windows).
- Clique duas vezes no arquivo para executar Process Explorer sem a necessidade de instalação formal.
3. Executando Process Explorer:
- Depois que o aplicativo for aberto, você verá uma interface que exibe uma lista de todos os processos em execução.
- Para obter mais informações sobre um processo, basta clicar com o botão direito do mouse no processo e selecionar a opção apropriada.
Etapas para identificar processos de malware usando Process Explorer
- Execute Process Explorer em seu sistema Windows 11.
- Observe os processos marcados em roxo na lista de processos. Os processos de cor roxa provavelmente são malware porque os arquivos são compactados ou empacotados, o que pode ocultar códigos maliciosos.
- Clique com o botão direito do mouse no processo suspeito e selecione “Properties” para verificar mais informações.
- Verifique se o processo está sendo executado em uma conta de usuário incomum, como não NT AUTHORITYSYSTEM, LOCAL SERVICE ou NETWORK SERVICE. Os processos executados em outras contas provavelmente são malware.
- Se o processo for uma instância de svchost.exe, clique com o botão direito do mouse e verifique suas propriedades. O processo nativo do Windows começará com C:\Windows\System32\svchost.exe –k. Caso contrário, pode ser malware.
Processo de codificação de cores em Process Explorer
Process Explorer usa codificação de cores para ajudar os usuários a identificar o tipo de processo que está em execução. A seguir está uma explicação do código de cores usado:
Processo roxo:
Indica um arquivo compactado (também conhecido como empacotado), que pode ocultar o código de malware. Esse processo geralmente é uma indicação precoce de malware, pois eles são projetados para se esconder dos scanners antivírus.
Processo vermelho:
Indica o processo que está sendo interrompido. Isso significa que o processo foi encerrado ou está em processo de encerramento.
Processo Verde:
Indica um processo que acabou de ser realizado (também conhecido como nascer). Este processo pode ter acabado de ser iniciado e precisa ser verificado para garantir sua segurança.
Processo azul claro:
Mostra o processo executado pela mesma conta que iniciou Process Explorer. Isso ajuda os usuários a entender o contexto de origem do processo.
Processo azul escuro:
Mostra o processo atualmente selecionado pelo usuário na visualização Process Explorer. Isso torna mais fácil para os usuários se concentrarem em processos específicos.
Processo Rosa:
Mostra os serviços em execução no PC, incluindo processos críticos do sistema, como svchost.exe. Esse processo pode acomodar um ou mais outros serviços, compartilhando recursos para eficiência.
Usando a codificação de cores para identificação de malware
Ao entender esse código de cores, os usuários podem identificar rapidamente possíveis ameaças em seus sistemas. Os processos de cor roxa devem ser examinados mais detalhadamente para garantir que não sejam malware, enquanto outros processos também precisam ser monitorados com base em seu contexto e comportamento.
A utilização desse recurso no Process Explorer permite que os usuários realizem uma análise aprofundada da atividade do sistema e tomem as medidas preventivas necessárias para proteger o computador contra ameaças maliciosas.
Verificando SVCHOST.EXE há malware
O malware geralmente tenta imitar o processo svchost.exe porque é um componente crítico do sistema operacional Windows que executa os serviços do sistema. Como muitos usuários e softwares de segurança reconhecem o svchost.exe como um processo legítimo, o malware aproveita isso para ocultar sua existência.
svchost.exe normalmente têm muitas instâncias em execução em segundo plano, dificultando a detecção de processos não autorizados. O malware disfarçado de svchost.exe pode evitar a detecção usando um nome semelhante ou operando com contas de usuário incomuns.
Como usar o ícone [+] à esquerda de um processo para ver subprocessos que podem ser malware
- Execute o aplicativo Process Explorer no seu computador.
- Pesquise a lista de processos e encontre todas as instâncias do svchost.exe. Você verá várias entradas para este processo.
- À esquerda do nome do processo svchost.exe, você verá o ícone [+]. Este ícone indica que o processo tem subprocessos que podem ser examinados mais detalhadamente.
- Clique no ícone [+] para expandir a visualização e ver os subprocessos associados a essa instância svchost.exe. Ele exibirá todos os subprocessos que podem ser malware.
- Verifique esses subprocessos para ver se algo é suspeito ou desconhecido. Se você encontrar um subprocesso com um nome incomum ou desconhecido, isso pode ser uma indicação de malware.
Verificando a autenticidade do processo SVCHOST.EXE
Para verificar a autenticidade do processo svchost.exe, a primeira etapa é habilitar a coluna que exibe a conta de usuário que executou o processo. Aqui estão os passos:
- Execute o aplicativo Process Explorer em seu computador.
- Na parte superior da janela Process Explorer, clique com o botão direito do mouse no título da coluna para abrir o menu de contexto.
- No menu que aparece, selecione a opção “Select Columns.”
- Na caixa de diálogo exibida, localize e marque a opção UserName. Depois disso, clique em OK para fechar a caixa de diálogo.
- Agora você verá uma nova coluna na lista de processos que mostra a conta de usuário para cada processo em execução.
Nome de usuário válido para SVCHOST.EXE processo
Todos os processos originais do svchost.exe serão executados em um dos três nomes de usuário a seguir:
- NT AUTHORITY\SYSTEM
- LOCAL SERVICE
- NETWORK SERVICE
Se você encontrar uma instância do svchost.exe em execução com outro nome de usuário, isso pode ser uma indicação de que o processo é malware.
Verificando as propriedades de SVCHOST.EXE processo para garantir a autenticidade
O próximo passo para verificar a autenticidade do processo é verificar suas propriedades:
- Localize e clique com o botão direito do mouse na instância do svchost.exe que deseja verificar.
- No menu de contexto, selecione a opção “Properties”.
- Na janela Propriedades, observe o campo Command line. O processo nativo do Windows sempre começará com:
C:\Windows\System32\svchost.exe –kSe a linha de comando não se encaixar nesse formato, provavelmente é malware.
Conclusão
Process Explorer é uma ferramenta importante para identificar e lidar com processos de malware em sistemas Windows 11. Ao entender o código de cores usado no Process Explorer, os usuários podem reconhecer rapidamente processos suspeitos, especialmente aqueles relacionados ao svchost.exe, que são frequentemente abusados por malware.
Etapas como verificação de contas de usuário e propriedades do processo são cruciais para garantir a autenticidade e segurança do sistema. Verificar regularmente o sistema usando essa ferramenta ajudará a manter o dispositivo protegido contra ameaças de malware maliciosas.
