Maneiras eficazes de identificar e superar processos de malware no Windows 11

Outros artigos interessantes

Processo de codificação de cores em Process Explorer

 Process Explorer usa codificação de cores para ajudar os usuários a identificar o tipo de processo que está em execução. A seguir está uma explicação do código de cores usado:

Processo roxo:

Indica um arquivo compactado (também conhecido como empacotado), que pode ocultar o código de malware. Esse processo geralmente é uma indicação precoce de malware, pois eles são projetados para se esconder dos scanners antivírus.

Processo vermelho:

Indica o processo que está sendo interrompido. Isso significa que o processo foi encerrado ou está em processo de encerramento.

Processo Verde:

Indica um processo que acabou de ser realizado (também conhecido como nascer). Este processo pode ter acabado de ser iniciado e precisa ser verificado para garantir sua segurança.

Processo azul claro:

Mostra o processo executado pela mesma conta que iniciou Process Explorer. Isso ajuda os usuários a entender o contexto de origem do processo.

Processo azul escuro:

Mostra o processo atualmente selecionado pelo usuário na visualização Process Explorer. Isso torna mais fácil para os usuários se concentrarem em processos específicos.

Processo Rosa:

Mostra os serviços em execução no PC, incluindo processos críticos do sistema, como svchost.exe. Esse processo pode acomodar um ou mais outros serviços, compartilhando recursos para eficiência.

Usando a codificação de cores para identificação de malware

Ao entender esse código de cores, os usuários podem identificar rapidamente possíveis ameaças em seus sistemas. Os processos de cor roxa devem ser examinados mais detalhadamente para garantir que não sejam malware, enquanto outros processos também precisam ser monitorados com base em seu contexto e comportamento.

A utilização desse recurso no Process Explorer permite que os usuários realizem uma análise aprofundada da atividade do sistema e tomem as medidas preventivas necessárias para proteger o computador contra ameaças maliciosas.

Verificando SVCHOST.EXE há malware

O malware geralmente tenta imitar o processo svchost.exe porque é um componente crítico do sistema operacional Windows que executa os serviços do sistema. Como muitos usuários e softwares de segurança reconhecem o svchost.exe como um processo legítimo, o malware aproveita isso para ocultar sua existência.

svchost.exe normalmente têm muitas instâncias em execução em segundo plano, dificultando a detecção de processos não autorizados. O malware disfarçado de svchost.exe pode evitar a detecção usando um nome semelhante ou operando com contas de usuário incomuns.

Como usar o ícone [+] à esquerda de um processo para ver subprocessos que podem ser malware

  1. Execute o aplicativo Process Explorer no seu computador.
  2. Pesquise a lista de processos e encontre todas as instâncias do svchost.exe. Você verá várias entradas para este processo.
  3. À esquerda do nome do processo svchost.exe, você verá o ícone [+]. Este ícone indica que o processo tem subprocessos que podem ser examinados mais detalhadamente.
  4. Clique no ícone [+] para expandir a visualização e ver os subprocessos associados a essa instância svchost.exe. Ele exibirá todos os subprocessos que podem ser malware.
  5. Verifique esses subprocessos para ver se algo é suspeito ou desconhecido. Se você encontrar um subprocesso com um nome incomum ou desconhecido, isso pode ser uma indicação de malware.
Process Explorer svchost

Verificando a autenticidade do processo SVCHOST.EXE

Para verificar a autenticidade do processo svchost.exe, a primeira etapa é habilitar a coluna que exibe a conta de usuário que executou o processo. Aqui estão os passos:

  1. Execute o aplicativo Process Explorer em seu computador.
  2. Na parte superior da janela Process Explorer, clique com o botão direito do mouse no título da coluna para abrir o menu de contexto.
  3. No menu que aparece, selecione a opção “Select Columns.”
  4. Na caixa de diálogo exibida, localize e marque a opção UserName. Depois disso, clique em OK para fechar a caixa de diálogo.
  5. Agora você verá uma nova coluna na lista de processos que mostra a conta de usuário para cada processo em execução.
Process Explorer Username

Nome de usuário válido para SVCHOST.EXE processo

Todos os processos originais do svchost.exe serão executados em um dos três nomes de usuário a seguir:

  • NT AUTHORITY\SYSTEM
  • LOCAL SERVICE
  • NETWORK SERVICE

Se você encontrar uma instância do svchost.exe em execução com outro nome de usuário, isso pode ser uma indicação de que o processo é malware.

Verificando as propriedades de SVCHOST.EXE processo para garantir a autenticidade

O próximo passo para verificar a autenticidade do processo é verificar suas propriedades:

  1. Localize e clique com o botão direito do mouse na instância do svchost.exe que deseja verificar.
  2. No menu de contexto, selecione a opção “Properties”.
  3. Na janela Propriedades, observe o campo Command line. O processo nativo do Windows sempre começará com:
C:\Windows\System32\svchost.exe –k

Se a linha de comando não se encaixar nesse formato, provavelmente é malware.

Conclusão

Process Explorer é uma ferramenta importante para identificar e lidar com processos de malware em sistemas Windows 11. Ao entender o código de cores usado no Process Explorer, os usuários podem reconhecer rapidamente processos suspeitos, especialmente aqueles relacionados ao svchost.exe, que são frequentemente abusados por malware.

Etapas como verificação de contas de usuário e propriedades do processo são cruciais para garantir a autenticidade e segurança do sistema. Verificar regularmente o sistema usando essa ferramenta ajudará a manter o dispositivo protegido contra ameaças de malware maliciosas.

Últimos artigos

Artigos Relacionados