Virus khi tấn công hệ thống thường sẽ ngụy trang thành các tiến trình hợp pháp của Windows để đánh lừa người dùng. Dưới đây là một số tiến trình quan trọng của hệ thống mà các phần mềm độc hại hoặc virus thường giả mạo nhất.
Các tiến trình hệ thống là một phần không thể thiếu của Windows và không có gì lạ khi thấy hàng chục hoặc hàng trăm tiến trình đó xuất hiện trong Task Manager. Mỗi tiến trình là một chương trình hoặc một phần của chương trình đang chạy trên hệ thống. Những kẻ có ý định tấn công Windows biết được điều đó nên thường tạo ra các phần mềm độc hại và che giấu chúng đằng sau tên của các tiến trình hợp pháp.
Bạn đang đọc: Bí mật 7 tiến trình thiết yếu của Windows có thể đang che giấu virus
Dưới đây là một số tiến trình dễ bị tấn công hoặc sao chép phổ biến nhất, cùng với vị trí của chúng và cách phát hiện phiên bản độc hại.
Explorer.exe
Tiến trình Explorer.exe chịu trách nhiệm về đồ họa trên hệ thống. Không có tiến trình này, hệ thống sẽ không có Taskbar, Start Menu, File Manager hoặc thậm chí là Desktop. Do đó đây là một tiến trình thiết yếu của Windows và không thể bị vô hiệu hóa.
Nhưng một số virus có thể sử dụng tên file Explorer.exe để ẩn đằng sau, bao gồm cả trojan.w32.ZAPCHAST. File hợp pháp sẽ được lưu trữ trong thư mục C:Windows. Nếu bạn tìm thấy file này trong System32, chắc chắn nên kiểm tra file đó bằng phần mềm chống virus của hệ thống.
Lsass.exe
Lsass.exe là một quy trình thiết yếu chịu trách nhiệm về chính sách bảo mật trên Windows. Nó xác minh tên đăng nhập và mật khẩu, trong số các thủ tục bảo mật khác. Không chắc rằng quá trình sẽ bị tấn công nhưng nếu nó không chạy đúng, bạn thường sẽ thấy hệ thống tự động đăng xuất tài khoản khỏi máy tính. Nhưng virus được biết là sử dụng tên của tiến trình này để ẩn đi quá trình tấn công hệ thống.
Bạn có thể tìm tiến trình Lsass.exe trong thư mục C:WindowsSystem32. Đây là nơi duy nhất trên hệ thống có thể tìm thấy tiến trình này. Nếu bạn tìm thấy ở một vị trí khác, chẳng hạn như C:Windowssystem hoặc C:Program Files, hãy quét file này bằng phần mềm chống virus trên hệ thống.
Svchost.exe
Service Host hoặc svchost.exe, là một quy trình dịch vụ được chia sẻ. Nó cho phép nhiều dịch vụ Windows khác chia sẻ các quy trình. Điều này giúp giảm tải sử dụng tài nguyên, làm cho hệ thống hoạt động hiệu quả hơn. Bạn gần như chắc chắn sẽ thấy nhiều hơn một phiên bản của Svchost.exe trong Task Manager, nhưng điều này là bình thường. Nếu một hoặc nhiều file trong số này bị phần mềm độc hại xâm phạm, bạn có thể nhận thấy hiệu suất hệ thống giảm rõ rệt.
Các file Svchost hợp pháp sẽ được tìm thấy trong thư mục C:WindowsSystem32. Nhưng nếu bạn nghi ngờ nó đã bị tấn công, hãy kiểm tra thư mục C:WindowsTemp. Nếu thấy file svchost.exe ở đây, đó có thể là một file độc hại. Hãy quét file bằng phần mềm chống virus của bạn và cách ly file này nếu cần.
Services.exe
Tiến trình Services.exe chịu trách nhiệm khởi động và dừng các dịch vụ Windows thiết yếu khác nhau. Giống như các quy trình Windows khác trong danh sách này, virus và phần mềm độc hại nhắm mục tiêu vào tiến trình này vì nó cho phép chúng ẩn trong tầm nhìn rõ ràng.
Nếu tiến trình này bị chiếm quyền điều khiển, bạn có thể nhận thấy sự cố trong quá trình khởi động và tắt máy tính của mình. Tìm file Services.exe thực trong thư mục System32. Nếu thấy file này nằm ở bất kỳ nơi nào khác, chẳng hạn như trong C:WindowsConnectionStatus thì file đó có thể là virus.
Winlogon.exe
Tiến trình Winlogon.exe cũng là một phần thiết yếu của hệ điều hành Windows. Tiến trình xử lý những việc như tải hồ sơ người dùng trong khi đăng nhập và khóa máy tính khi trình bảo vệ màn hình chạy. Thật không may, vì nó xử lý các yếu tố bảo mật, quá trình đăng nhập Windows và vì vậy winlogon.exe là mục tiêu phổ biến của các mối đe dọa.
Tìm hiểu thêm: Cách ngăn iPhone tự động tải về ứng dụng
Một số virus Trojan, bao gồm cả Vundo có thể ẩn bên trong hoặc ngụy trang dưới dạng winlogon.exe. Vị trí thông thường của file Winlogon.exe là C:WindowsSystem32. Nếu bạn tìm thấy file này trong C:WindowsWinSecurity thì có thể phần mềm độc hại. Một dấu hiệu tốt cho thấy quá trình đã bị tấn công là mức sử dụng bộ nhớ cao bất thường.
Csrss.exe
Client/Server Run-Time Subsystem hay Csrss.exe, là một quy trình thiết yếu của Windows. Mặc dù nó không được sử dụng rộng rãi trong các phiên bản Windows hiện đại, nhưng vẫn được hệ thống yêu cầu và không thể bị vô hiệu hóa.
Virus Nimda.E đã được biết là bắt chước quá trình Csrss.exe, mặc dù đó không phải là mối đe dọa tiềm tàng duy nhất. Nhưng file hợp pháp phải nằm trong thư mục C:WindowsSystem32 hoặc SysWOW64. Kích chuột phải vào tiến trình Csrss.exe trong Task Manager và chọn Open File Location. Nếu tiến trình này nằm ở bất kỳ nơi nào khác, nó có khả năng là một file độc hại.
Spoolsv.exe
Windows Print Spooler Service hoặc Spoolsv.exe, là một phần quan trọng của giao diện in. Tiến trình này chạy ở chế độ nền, chờ để quản lý danh sách chờ in khi được yêu cầu trên hệ thống. Quá trình này không phụ thuộc vào việc kết nối máy in, vì vậy bạn không nên ngạc nhiên khi thấy tiến trình này trong Task Manager.
Có lẽ vì Spoolsv.exe dễ bị bỏ qua nên một loại virus có thể lấy tên này để làm cho chính nó có vẻ hợp pháp. Có thể tìm thấy file này thực sự trong thư mục C:WindowsSystem32. Các file giả mạo thường sẽ xuất hiện trong thư mục C:Windows hoặc trong thư mục hồ sơ người dùng.
Cách nhận biết một tiến trình hợp pháp
Trình quản lý tác vụ Task Manager là nơi rất quan trọng khi bạn tìm kiếm hoạt động đáng ngờ trên hệ thống. Các tiến trình bị lây nhiễm thường sẽ hoạt động thất thường, tiêu tốn nhiều năng lượng CPU và bộ nhớ hơn bình thường. Nhưng không phải lúc nào cũng như vậy, vì vậy đây là một số cách khác để kiểm tra xem một quy trình có hợp pháp hay không.
Hầu hết các tiến trình thiết yếu được liệt kê ở trên sẽ chỉ xuất hiện trong thư mục C:WindowsSystem32. Bạn có thể dễ dàng kiểm tra vị trí của các file đáng ngờ trong Task Manager bằng cách, kích chuột phải vào tiến trình đó và chọn Open File Location. Kiểm tra đường dẫn của thư mục mở ra để đảm bảo file ở đúng vị trí.
>>>>>Xem thêm: Mách bạn cách trình chiếu PowerPoint ai cũng cần biết
Một cách khác để biết một file có hợp pháp hay không là kiểm tra dung lượng. Hầu hết các file *.exe của các tiến trình thiết yếu này sẽ có dung lượng dưới 200kb. Kích chuột phải vào tên tiến trình cần kiểm tra trong Task Manager và chọn Properties và kiểm tra kích thước. Nếu dung lượng có vẻ lớn bất thường, hãy xem xét kỹ hơn để xác định xem nó có an toàn không.
Bạn cũng có thể kiểm tra chứng chỉ của file EXE. Một file xác thực sẽ có chứng chỉ bảo mật do Microsoft cấp. Nếu thấy bất cứ điều gì khác thì nhiều khả năng file đó là file độc hại.
Điều cuối cùng cần làm là quét các file nghi ngờ bằng trình quét chống virus được cập nhật phiên bản mới nhất. Kiểm tra, cách ly và xóa mọi file được xác định hoặc thậm chí là nghi ngờ bị nhiễm. Điều quan trọng là các phiên bản Windows hiện đại được tích hợp sẵn công cụ bảo vệ theo thời gian thực là Microsoft Defender, nên bạn có thể sử dụng để quét các tập tin, thư mục hoặc thậm chí là cả phân vùng ổ đĩa để kiểm tra mọi file đáng ngờ tìm thấy.
Một phần của việc đảm bảo cho Windows của bạn an toàn khỏi phần mềm độc hại và virus là biết chúng ẩn náu ở đâu. Đôi khi một file độc hại sẽ hoạt động kỳ lạ, sử dụng quá nhiều CPU và bộ nhớ. Nhưng không phải lúc nào cũng vậy. Vì vậy, phát hiện một file đáng ngờ theo những cách khác là một kỹ năng hữu ích và vô cùng quan trọng.
Xem thêm:
3 cách diệt virus trên máy tính Windows 11 bằng Microsoft Defender
Virus máy tính là gì? Tìm hiểu các loại virus máy tính phổ biến và cách phòng chống