¿Qué puede hacer un servicio en Windows?

10

¿Qué tipo de malware / spyware podría alguien poner en un servicio que no tiene su propio proceso en Windows? Me refiero a los servicios que usan svchost.exe, por ejemplo, como este:
ingrese la descripción de la imagen aquí

¿Podría un servicio espiar la entrada de mi teclado? ¿Tomar capturas de pantalla? ¿Enviar / recibir datos por internet? ¿Infectar otros procesos o archivos? ¿Borrar archivos? ¿Eliminar procesos?

services malware windows-services Forivin
fuente
55
Cualquier cosa está programada para hacer. Un servicio podría hacer todas las cosas que usted menciona si está programado para hacerlo.
Ramhound

Respuestas:

18

¿Qué es un servicio?

Un servicio es una aplicación, ni más ni menos. La ventaja es que un servicio puede ejecutarse sin una sesión de usuario. Esto permite que cosas como bases de datos, copias de seguridad, la capacidad de iniciar sesión, etc. se ejecuten cuando sea necesario y sin que un usuario haya iniciado sesión.

¿Qué es svchost ?

Según Microsoft: "svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de enlace dinámico". ¿Podríamos tener eso en inglés por favor?

Hace algún tiempo, Microsoft comenzó a mover toda la funcionalidad de los servicios internos de Windows a archivos .dll en lugar de archivos .exe. Desde una perspectiva de programación, esto tiene más sentido para la reutilización ... pero el problema es que no puede iniciar un archivo .dll directamente desde Windows, tiene que cargarse desde un ejecutable en ejecución (.exe). Así nació el proceso svchost.exe.

Entonces, esencialmente un servicio que usa svchost solo está llamando a un .dll y puede hacer casi cualquier cosa con las credenciales y / o permisos correctos.

Si no recuerdo mal, hay virus y otros programas maliciosos que se esconden detrás del proceso svchost, o nombran el ejecutable svchost.exe para evitar la detección.

Keltari
fuente
1
Para ir un paso más allá, si usa Process Explorer y pasa el cursor sobre la instancia de svchost, le dirá qué servicios aloja .
Scott Chamberlain
@ScottChamberlain También puede hacer clic derecho y Go to Service(s)en el administrador de tareas incorporado en cualquier versión reciente de Windows (Vista +).
Bob
1
El Administrador de tareas de Windows 8 lo hace aún más fácil: 250kb.de/u/140522/p/ZFP0uJMz2yVJ.png
Forivin
@Forivin Tengo curiosidad por saber cómo lograste que un PNG se cargara hacia arriba . Y cómo logró llevar eso a 1.5 MB: un PNG de colores principalmente planos como ese debería ser un par de cientos de KB, máx.
Bob
@Bob No eres el primero en preguntarme eso. : p Soy demasiado vago para descubrir por qué, pero creé esta captura de pantalla usando AltGr + Print (carga una captura de pantalla de mapa de bits de la ventana actual en el portapapeles) y luego pegué en un archivo png vacío usando Paint, por lo que es probable que sigue siendo un mapa de bits (con una extensión incorrecta). Eso explicaría el tamaño y quizás también la carga hacia arriba. ;)
Forivin