Перейти к основному содержимому

Как выявлять замаскированные вирусы?

ОБЯЗАТЕЛЬНОДЛЯ НОВИЧКОВ
Разработчику Инженеру

Как выявлять замаскированные вирусы?

Маскировка — когда вредоносное ПО притворяется чем-то знакомым и безопасным: системным процессом Windows, браузером, "антивирусом" или обычным документом. Цель — обойти антивирус и не вызвать подозрений у пользователя, который в диспетчере задач видит "знакомое" имя и не останавливается.

Выявление таких угроз требует двух вещей: понимать типичные приёмы мимикрии и проверять не только имя, но и путь к файлу, подпись, родительский процесс и поведение.

Смежные темы

Классификация malware и таблица типов угроз — в Вирусы и вредоносные программы. Сигнатуры, эвристика и EDR — в Антивирусы. Forensics на хосте — в Обеспечение безопасности.

Под что маскируются

КатегорияКак выглядит для жертвыПримеры
Системные файлы и процессы"Ещё один svchost" в диспетчере задачПодделка svchost.exe, csrss.exe, winlogon.exe, dwm.exe, taskhostw.exe, explorer.exe, smss.exe
Полезные приложенияБраузер, игра, плеер, "ускоритель", модТрояны, стилеры, ransomware в установщике "кряка" или "патча"
Антивирусы и обновленияВсплывающее "обнаружено 847 угроз!"Scareware — лжеантивирусы, вымогающие деньги за "очистку"
Документы и медиаPDF, фото, таблица ExcelМакросы в Office, двойное расширение foto.jpg.exe, ярлыки .lnk с иконкой PDF

Маскировка сочетается с социальной инженерией: пользователь сам запускает файл, потому что доверяет имени и иконке.

Системный процесс или подделка?

Имя процесса в диспетчере задач не доказательство легитимности. Большинство вредоносных программ в списке процессов маскируются одним из двух способов:

  1. Под системное имя — копируют svchost.exe, csrss.exe, winlogon.exe и другие знакомые процессы.
  2. Под случайное имя — генерируют бессмысленную строку вроде alkzxklcjfds.exe, x8f2k9.exe, svc_update_4721.exe, чтобы не привлекать внимание незнакомым, но и не "палиться" явной подделкой.

Проверяйте пять признаков:

  1. Путь к исполняемому файлу — легитимные системные бинарники Windows лежат в C:\Windows\System32 или C:\Windows\SysWOW64 (для 32-bit на 64-bit ОС).
  2. Цифровая подпись — у системных файлов Microsoft подпись должна быть валидной.
  3. Учётная запись владельца — критичные процессы (csrss, winlogon, smss, services) работают от SYSTEM или LOCAL SERVICE, а не от вашего логина DOMAIN\user. "Системный" процесс от имени обычного пользователя — красный флаг (исключение — часть пользовательских хостов вроде taskhostw.exe и explorer.exe).
  4. Родительский процесс — кто запустил процесс (Process Explorer / диспетчер задач → столбец "Командная строка", "Родительский PID").
  5. Поведение — сетевые подключения к неизвестным IP, массовое шифрование файлов, правки реестра автозагрузки.
Где смотреть пользователя процесса

Диспетчер задач (Win 10/11) → вкладка "Подробности" → ПКМ по заголовку столбца → включить "Имя пользователя". В Process Explorer — колонка User. Сравните с соседними легитимными системными процессами.

Красные флаги

svchost.exe из C:\Users...\AppData или C:\Windows\Temp — почти наверняка подделка. Настоящий explorer.exe не должен жить в папке "Загрузки".

svchost.exe

Легитимно: хост для служб Windows; несколько экземпляров — норма. Путь: C:\Windows\System32\svchost.exe. Родитель обычно services.exe. У каждого экземпляра в командной строке указана группа служб (-k netsvcs, -k LocalService и т.д.).

Подозрительно:

  • путь вне System32 / SysWOW64;
  • нет параметра -k в командной строке;
  • исходящие соединения к незнакомым адресам у "пустого" svchost;
  • один svchost потребляет непропорционально много CPU/RAM без видимой причины.

explorer.exe

Легитимно: оболочка рабочего стола; обычно один экземпляр на активную сессию пользователя. Путь: C:\Windows\explorer.exe. Запускается при входе в систему.

Подозрительно:

  • второй explorer.exe из Temp, AppData, Downloads;
  • explorer.exe без окон рабочего стола, но с активной сетью;
  • отсутствие подписи Microsoft.

smss.exe

Легитимно: Session Manager — один процесс на систему, стартует при загрузке. Путь: C:\Windows\System32\smss.exe. Родитель — System (PID 4). Завершается после инициализации сессий; длительная "жизнь" smss в пользовательской сессии нетипична.

Подозрительно:

  • несколько smss.exe;
  • экземпляр из нестандартного каталога;
  • smss с сетевой активностью (у легитимного её быть не должно).

SearchApp.exe / SearchHost.exe

Легитимно: компонент поиска Windows 10/11 (UWP). Путь в каталоге C:\Windows\SystemApps\... или WindowsApps. Может перезапускаться при открытии поиска.

Подозрительно:

  • SearchApp.exe в AppData, Temp, Program Files вне WindowsApps;
  • процесс с таким именем, но без связи с интерфейсом поиска и с постоянным исходящим трафиком.

csrss.exe

Легитимно: Client/Server Runtime — критический подсистемный процесс Windows. Путь: C:\Windows\System32\csrss.exe. Учётная запись: SYSTEM (не ваш логин). Обычно один экземпляр на сеанс; родитель при старте — smss.exe.

Подозрительно:

  • csrss.exe от имени вашего пользователя;
  • путь вне System32;
  • несколько csrss с сетевой активностью (у легитимного исходящих соединений быть не должно).

winlogon.exe

Легитимно: управление входом в систему и безопасностью сеанса. Путь: C:\Windows\System32\winlogon.exe. Учётная запись: SYSTEM. Родитель — smss.exe или системный контекст.

Подозрительно:

  • экземпляр от вашего пользователя;
  • winlogon.exe в Temp, AppData, Downloads;
  • дублирование процесса с активным трафиком.

dwm.exe

Легитимно: Desktop Window Manager — композиция окон и эффекты Aero/Fluent. Путь: C:\Windows\System32\dwm.exe. Обычно один на активный графический сеанс; может отображаться в контексте пользователя, но файл всегда из System32.

Подозрительно:

  • dwm.exe вне системного каталога;
  • высокая загрузка GPU/CPU у dwm вместе с неизвестными исходящими соединениями;
  • отсутствие подписи Microsoft.

taskhostw.exe (taskhost.exe)

Легитимно: хост фоновых задач планировщика и COM-объектов в сеансе пользователя. Путь: C:\Windows\System32\TaskhostW.exe (регистр не важен; на старых версиях встречается taskhost.exe). Может работать от вашего пользователя — это нормально. Родитель часто svchost.exe или RuntimeBroker.exe.

Подозрительно:

  • копия в AppData, Temp, ProgramData;
  • нет подписи Microsoft;
  • постоянные исходящие подключения у "тихого" taskhost без связанных задач.

Случайные имена (alkzxklcjfds.exe и аналоги)

Не каждый malware копирует системные имена. Частый приём — случайная строка или псевдо-служебное имя (svc_host2.exe, msupdate_9k2.exe).

Обращайте внимание, если процесс:

  • не узнаёте и не устанавливали соответствующее ПО;
  • лежит в Temp, AppData\Local\Temp, Downloads;
  • создан недавно (дата файла совпадает с "подозрительной" загрузкой);
  • без цифровой подписи или с подписью неизвестного издателя;
  • стартует из браузера, cmd.exe, powershell.exe или архиватора.

Быстрая проверка в PowerShell

Путь процессов с "системными" именами:

$names = 'svchost','explorer','smss','csrss','winlogon','dwm','taskhostw','SearchApp'
Get-Process $names -ErrorAction SilentlyContinue |
  ForEach-Object {
    $w = Get-CimInstance Win32_Process -Filter "ProcessId=$($_.Id)"
    [PSCustomObject]@{
      Name = $_.Name
      PID  = $_.Id
      Path = $w.ExecutablePath
      User = ($w.GetOwner().User)
    }
  }

Для подписи файла (нужны права администратора):

Get-AuthenticodeSignature "C:\Windows\System32\svchost.exe" | Format-List

Статус Valid и издатель Microsoft Windows — ожидаемо для системного бинарника.

Другие виды маскировки

"Полезные" программы

Трояны, стилеры и ransomware часто поставляются как:

  • "кряк" игры или офисного пакета;
  • мод, чит, "оптимизатор" или "драйвер для видеокарты";
  • фальшивый Telegram, Discord, VPN или браузер.

Признаки: установщик скачан не с официального сайта; антивирус ругается; после запуска появляются незнакомые процессы и исходящие соединения.

Лжеантивирусы (scareware)

Программа имитирует сканирование и показывает сотни "вирусов". Дальше — требование оплаты за "полную версию" или звонок "в техподдержку Microsoft". Настоящий антивирус не просит срочно перевести деньги на карту и не блокирует весь ПК баннером без установки через официальный инсталлятор.

Документы и медиафайлы

  • Макросы в Word/Excel — при открытии просят "включить содержимое"; дальше запускается скрипт.
  • Двойное расширениеотчёт.pdf.exe или фото.jpg.scr; при скрытых расширениях в Проводнике видно только отчёт.pdf.
  • Ярлыки .lnk с иконкой PDF/Word — по двойному клику стартует PowerShell или cmd.

Включите отображение расширений: Параметры → Система → О программе → Дополнительные параметры → в Проводнике снять "Скрывать расширения для зарегистрированных типов файлов".

Как выявлять — методы обнаружения

МетодЧто ищетОграничение
Сканирование по сигнатурамИзвестные образцы в базах AVНе видит свежие/упакованные варианты
ЭвристикаПодозрительные конструкции в кодеВозможны ложные срабатывания
Поведенческий анализИнъекции в чужие процессы, правки реестра, шифрование файловНужен EDR или включённый HIPS
Анализ трафикаВыгрузка данных на неизвестные IP и доменыТребует сетевого мониторинга или firewall-логов
Мониторинг ресурсовВнезапный перегрев, 100 % диска/CPU, постоянная активность дискаСимптом, а не диагноз — но повод для проверки

На рабочей станции обычно сочетают антивирус/EDR + ручную верификацию подозрительных процессов (Process Explorer, Autoruns от Sysinternals).

Инструменты проверки

Постоянная защита

Установленный антивирус или EDR с актуальными базами — базовый слой. В корпоративной среде — централизованное управление и логи; подробнее в Антивирусы.

Разовое сканирование без установки

Утилиты "второго мнения" — когда подозреваете заражение, но основной AV ничего не нашёл:

УтилитаНазначение
Kaspersky Virus Removal ToolСканирование и удаление известных угроз, в т.ч. замаскированных троянов
Dr.Web CureIt!Бесплатный одноразовый сканер без установки в систему

Скачивайте только с официальных сайтов вендоров — не с "топа выдачи" и не по рекламным ссылкам.

Никогда не переходите на первые ссылки в поиске

По запросу "скачать антивирус бесплатно" или "cureit" в выдаче часто оказываются фейк-сайты: фишинг, подмена домена (kaspersky-security.ru вместо kaspersky.ru), поддельные установщики со стилером внутри. Проверяйте адресную строку, HTTPS и сертификат. Если скачали файл с ненадёжного источника — считайте систему скомпрометированной до проверки.

Для углублённого разбора

  • Process Explorer / Autoruns (Sysinternals) — дерево процессов, автозагрузка, неподписанные образы.
  • Process Monitor — кто и какой файл открыл, что писал в реестр.
  • sfc /scannow и DISM /Online /Cleanup-Image /RestoreHealth — целостность системных файлов Windows.

Чек-лист

Пользователь

  • Расширения файлов в Проводнике включены; не запускаю *.exe из архивов "с документом".
  • Софт скачиваю только с официального сайта — URL ввожу вручную или из закладки, не из первой ссылки поиска.
  • В диспетчере задач смотрю имя, путь и пользователя процесса (ПКМ → "Открыть расположение файла"; столбец "Имя пользователя").
  • "Системные" процессы (csrss, winlogon, smss) от моего логина — повод для проверки.
  • Незнакомые *.exe с случайным именем в Temp/AppData — не игнорирую.
  • "Антивирус" с требованием срочной оплаты — не доверяю; проверяю установленное корпоративное AV.

Инженер / ИБ

  • EDR с поведенческими правилами на подозрительные родители процессов и автозагрузку из AppData.
  • Алерты на исполняемые файлы в Temp/AppData с именами системных процессов.
  • План: изоляция хоста → скан KVRT/CureIt с официального сайта → forensics при подтверждении.

Источники и смежные материалы

В энциклопедии

Внешние материалы

Содержание