بله، ممکن است و حملات شناخته شده بر اساس فایل / سرویس svchost.exe وجود دارد.
فرآیندهای ویندوز برای عملکرد معمول سیستم عامل ضروری است. بعضی از فرآیندها نیاز به امتیازات ویژه یا منابع دارند که ممکن است کاربر معمولی آن را نداشته باشد. این دقیقا همان چیزی است که نویسندگان بدافزار به دنبال آن هستند. فرآیندهای زیر معمولا توسط malwares مورد استفاده قرار می گیرند ( منبع : https://blog.checkpoint.com/2016/04/26/how-ransomware-and-malware-use-microsoft-windows-knownbbinaries /):
svchost.exe – یک فرایند سیستم که میزبان چند سرویس ویندوز در خانواده سیستم عامل ویندوز NT است. Svchost در اجرای فرایندهای خدمات مشترک ضروری است، در حالی که تعدادی از سرویس ها می توانند یک فرآیند را برای کاهش مصرف منابع به اشتراک بگذارند.
explorer.exe – قبلا به نام ویندوز اکسپلورر، این یک برنامه مدیریت فایل است که شامل در نسخه های سیستم عامل ویندوز مایکروسافت از ویندوز 95 به بعد. این یک رابط کاربر گرافیکی برای دسترسی به سیستم های فایل فراهم می کند. این نیز جزء سیستم عامل است که بسیاری از آیتم های رابط کاربر را در مانیتور مانند نوار وظیفه و دسکتاپ ارائه می دهد.
Sdbinst.exe – این فرایند بخشی از پکیج بهینه سازی دسکتاپ مایکروسافت (MDOP )، که شامل برنامه مجازی سازی (App-V) است. MDOP کاربر را قادر می سازد برنامه ها را برای مشتریان بدون نصب آنها به طور مستقیم در رایانه های خود در دسترس قرار دهد. برنامه-V برنامه های کاربردی را به سرویس های مدیریت شده متمرکز تبدیل می کند که هرگز نصب نشده و با برنامه های دیگر رقابت نمی کنند.
Sdbinst.exe اجازه می دهد خالق برنامه به فشار به روز رسانی از طریق فایل های .sdb. این فرایند این رفتار را با خدمت به عنوان ابزار middleware بین برنامه و سیستم عامل مدیریت می کند. برای این منظور sdbinst.exe کد دریافت شده از خالق را با امتیازات مدیریتی اجرا می کند.
علاوه بر این ممکن است زیر سایت زیر مراجعه کنید تا ببینید که چگونه یک مهاجم خود را پشت یک فرایند مشروع ویندوز پنهان می کند: https://safe-cyberdefense.com/ بارگیری-تزریق-مخرب-dll-using-microsoft-tools /
