Etapas para identificar processos de malware usando Process Explorer
- Execute Process Explorer em seu sistema Windows 11.
- Observe os processos marcados em roxo na lista de processos. Os processos de cor roxa provavelmente são malware porque os arquivos são compactados ou empacotados, o que pode ocultar códigos maliciosos.
- Clique com o botão direito do mouse no processo suspeito e selecione “Properties” para verificar mais informações.
- Verifique se o processo está sendo executado em uma conta de usuário incomum, como não NT AUTHORITYSYSTEM, LOCAL SERVICE ou NETWORK SERVICE. Os processos executados em outras contas provavelmente são malware.
- Se o processo for uma instância de svchost.exe, clique com o botão direito do mouse e verifique suas propriedades. O processo nativo do Windows começará com C:\Windows\System32\svchost.exe –k. Caso contrário, pode ser malware.
Processo de codificação de cores em Process Explorer
Process Explorer usa codificação de cores para ajudar os usuários a identificar o tipo de processo que está em execução. A seguir está uma explicação do código de cores usado:
Processo roxo:
Indica um arquivo compactado (também conhecido como empacotado), que pode ocultar o código de malware. Esse processo geralmente é uma indicação precoce de malware, pois eles são projetados para se esconder dos scanners antivírus.
Processo vermelho:
Indica o processo que está sendo interrompido. Isso significa que o processo foi encerrado ou está em processo de encerramento.
Processo Verde:
Indica um processo que acabou de ser realizado (também conhecido como nascer). Este processo pode ter acabado de ser iniciado e precisa ser verificado para garantir sua segurança.
Processo azul claro:
Mostra o processo executado pela mesma conta que iniciou Process Explorer. Isso ajuda os usuários a entender o contexto de origem do processo.
Processo azul escuro:
Mostra o processo atualmente selecionado pelo usuário na visualização Process Explorer. Isso torna mais fácil para os usuários se concentrarem em processos específicos.
Processo Rosa:
Mostra os serviços em execução no PC, incluindo processos críticos do sistema, como svchost.exe. Esse processo pode acomodar um ou mais outros serviços, compartilhando recursos para eficiência.
Usando a codificação de cores para identificação de malware
Ao entender esse código de cores, os usuários podem identificar rapidamente possíveis ameaças em seus sistemas. Os processos de cor roxa devem ser examinados mais detalhadamente para garantir que não sejam malware, enquanto outros processos também precisam ser monitorados com base em seu contexto e comportamento.
A utilização desse recurso no Process Explorer permite que os usuários realizem uma análise aprofundada da atividade do sistema e tomem as medidas preventivas necessárias para proteger o computador contra ameaças maliciosas.
Verificando SVCHOST.EXE há malware
O malware geralmente tenta imitar o processo svchost.exe porque é um componente crítico do sistema operacional Windows que executa os serviços do sistema. Como muitos usuários e softwares de segurança reconhecem o svchost.exe como um processo legítimo, o malware aproveita isso para ocultar sua existência.
svchost.exe normalmente têm muitas instâncias em execução em segundo plano, dificultando a detecção de processos não autorizados. O malware disfarçado de svchost.exe pode evitar a detecção usando um nome semelhante ou operando com contas de usuário incomuns.
Como usar o ícone [+] à esquerda de um processo para ver subprocessos que podem ser malware
- Execute o aplicativo Process Explorer no seu computador.
- Pesquise a lista de processos e encontre todas as instâncias do svchost.exe. Você verá várias entradas para este processo.
- À esquerda do nome do processo svchost.exe, você verá o ícone [+]. Este ícone indica que o processo tem subprocessos que podem ser examinados mais detalhadamente.
- Clique no ícone [+] para expandir a visualização e ver os subprocessos associados a essa instância svchost.exe. Ele exibirá todos os subprocessos que podem ser malware.
- Verifique esses subprocessos para ver se algo é suspeito ou desconhecido. Se você encontrar um subprocesso com um nome incomum ou desconhecido, isso pode ser uma indicação de malware.
