Los procesos son una parte inevitable de Windows y no es inusual ver docenas o cientos de ellos en el Administrador de tareas. Cada proceso es un programa o parte de un programa que se está ejecutando. Desafortunadamente, los creadores de malware lo saben y se sabe que esconden software malicioso detrás de los nombres de procesos legítimos.
Estos son algunos de los procesos más comúnmente secuestrados o duplicados, junto con dónde deben ubicarse y cómo detectar una versión maliciosa.
1. Svchost.exe
Service Host, o svchost.exe, es un proceso de servicio compartido. Permite que varios otros servicios de Windows compartan procesos. Esto ayuda a reducir el uso de recursos, haciendo que el sistema sea más eficiente. Es casi seguro que verá más de una instancia de Svchost.exe en el Administrador de tareas, pero esto es normal. Si uno o más de estos archivos se ven comprometidos por malware, es posible que observe una clara reducción en el rendimiento.
Los archivos Svchost legítimos deben encontrarse en C:\Windows\System32. Si sospecha que ha sido secuestrado, verifique C:\Windows\Temp. Si ve svchost.exe aquí, podría ser un archivo malicioso. Escanee el archivo con su software antivirus y póngalo en cuarentena si es necesario.
2. explorador.exe
Explorer.exe es responsable del shell gráfico. Sin él, no tendría la barra de tareas, el menú de inicio, el administrador de archivos o incluso el escritorio. Por lo tanto, es una parte esencial de Windows y no se puede desactivar.
Varios virus pueden usar el nombre de archivo Explorer.exe para esconderse, incluido trojan.w32.ZAPCHAST. El archivo legítimo estará en C:\Windows. Si lo encuentras en Sistema32, definitivamente debería verificarlo con su software antivirus.
3. Winlogon.exe
El proceso Winlogon.exe es una parte esencial del sistema operativo Windows. Maneja cosas como cargar el perfil de usuario durante el inicio de sesión y bloquear la computadora cuando se ejecuta el protector de pantalla. Desafortunadamente, debido a que maneja elementos de seguridad, el inicio de sesión de Windows y el proceso winlogon.exe son objetivos comunes para las amenazas.
Varios virus troyanos, incluido Vundo, pueden ocultarse o disfrazarse como winlogon.exe. La ubicación habitual del archivo Winlogon.exe es C:\Windows\System32. Si lo encuentras en C:\Windows\Win Security, podría ser malicioso. Una buena indicación de que el proceso ha sido secuestrado es un uso de memoria inusualmente alto.
Los virus y el malware no solo se esconden detrás de los procesos de Windows. Aquí están algunas otras formas en que el malware puede pasar desapercibido y ocultarse en su computadora.
4. Csrss.exe
El Subsistema de Tiempo de Ejecución Cliente/Servidor, o Csrss.exe, es un proceso esencial de Windows. Aunque no se usa tanto en las versiones modernas de Windows, el sistema aún lo requiere y no se puede deshabilitar.
La Nimda. Se sabe que el virus E imita el proceso Csrss.exe, aunque esa no es la única amenaza potencial. El archivo legítimo debe estar ubicado en el Sistema32 o SysWOW64 carpetas Haga clic derecho en el proceso Csrss.exe en el Administrador de tareas y elija Abrir localización de archivo. Si se encuentra en otro lugar, es probable que sea un archivo malicioso.
5. Lsass.exe
lsass.exe es un proceso esencial responsable de la política de seguridad en Windows. Verifica el nombre de usuario y la contraseña, entre otros procedimientos de seguridad. Es poco probable que el proceso sea secuestrado. Si no se ejecuta correctamente, por lo general se cerrará la sesión de su computadora automáticamente. Pero se sabe que los virus usan el nombre del archivo para ocultarse.
Busque el archivo Lsass.exe en C:\Windows\System32. Este es el único lugar donde deberías encontrarlo. Si lo ve en otro lugar, como C:\Windows\sistema o C:\Archivos de programa, actúa con sospecha y escanea el archivo con tu antivirus.
6. Servicios.exe
El proceso Services.exe es responsable de iniciar y detener varios servicios esenciales de Windows. Al igual que los otros procesos de Windows en esta lista, los virus y el malware lo atacan porque les permite ocultarse a plena vista.
Si el archivo está secuestrado, es posible que observe problemas durante el inicio y el apagado de su PC. Busque el archivo Services.exe real en el Sistema32 carpeta. Si está ubicado en cualquier otro lugar, como en C:\Windows\Estado de conexión, el archivo podría ser un virus.
Los procesos mencionados aquí son esenciales para el buen funcionamiento de Windows. Pero no todos lo son, y muchos no esenciales los procesos pueden incluso cerrarse para ayudar con el rendimiento.
7. Spoolsv.exe
El servicio de cola de impresión de Windows, o Spoolsv.exe, es una parte importante de la interfaz de impresión. Se ejecuta en segundo plano, a la espera de administrar cosas como la cola de impresión cuando sea necesario. El proceso no depende de tener una impresora conectada, por lo que no debería sorprenderte verlo en el Administrador de tareas.
Tal vez porque Spoolsv.exe se pasa por alto fácilmente, un virus puede tomar el nombre para parecer legítimo. El verdadero archivo de spools se puede encontrar en C:\Windows\System32. El archivo falso a menudo aparecerá en C:\Windowso en una carpeta de perfil de usuario.
¿Cómo se comprueba si un proceso es legítimo?
El Administrador de tareas es su amigo cuando busca actividad sospechosa. Los procesos infectados a menudo se comportan de forma errática, consumiendo más potencia de CPU y memoria de lo habitual. Pero ese no es siempre el caso, por lo que aquí hay algunas otras formas de verificar que un proceso sea legítimo.
La mayoría de los procesos esenciales enumerados aquí solo deberían aparecer en la carpeta System32. Puede verificar fácilmente la ubicación de un archivo sospechoso en el Administrador de tareas. Haga clic derecho en el proceso y seleccione Abrir localización de archivo. Verifique la ruta de la carpeta que se abre para asegurarse de que el archivo esté en el lugar correcto.
Otra forma de saber si un archivo es legítimo es verificar el tamaño. La mayoría de los archivos .exe de estos procesos esenciales tendrán menos de 200 kb. Haga clic derecho en el nombre del proceso en el Administrador de tareas, seleccione Propiedades y mira el tamaño. Si parece inusualmente grande, mírelo más de cerca para determinar si es seguro.
Tú también puedes comprobar el certificado del archivo EXE. Un archivo auténtico tendrá un certificado de seguridad emitido por Microsoft. Si ve algo más, es probable que sea malicioso.
Lo último que debe hacer es escanear los archivos sospechosos con un escáner antivirus actualizado. Ponga en cuarentena y elimine cualquier archivo que esté marcado como infectado. Afortunadamente, las versiones modernas de Windows vienen con Microsoft Defender integrado, así que aprende cómo escanear un solo archivo o carpeta con Microsoft Defender para comprobar cualquier archivo sospechoso que encuentre.
Los procesos de Windows que podrían estar ocultando un virus
Parte de mantener su PC con Windows a salvo de malware y virus es saber dónde se esconden. A veces, un archivo malicioso se comportará de manera extraña, usando demasiada CPU y memoria. Pero no siempre. Entonces, detectar un archivo sospechoso de otras maneras es una habilidad útil.