Les processus sont un élément incontournable de Windows, et il n’est pas rare d’en voir des dizaines ou des centaines dans le Gestionnaire des tâches.
Chaque processus est un programme ou une partie de programme en cours d’exécution. Malheureusement, les créateurs de logiciels malveillants le savent et sont connus pour cacher des virus derrière les noms de processus légitimes.
Voici quelques-uns des processus les plus couramment détournés ou dupliqués, ainsi que l’emplacement où ils devraient se trouver et la manière de repérer une version malveillante.
Svchost.exe
Le Service Host, ou svchost.exe, est un processus de service partagé. Il permet à divers autres services Windows de partager des processus. Cela permet de réduire l’utilisation des ressources et de rendre le système plus efficace. Vous verrez certainement plus d’une instance de svchost.exe dans le Gestionnaire des tâches, mais c’est normal. Si un ou plusieurs de ces fichiers sont compromis par des logiciels malveillants, vous pouvez constater une nette diminution des performances de votre ordinateur.
Les fichiers svchost légitimes se trouvent dans C:\Windows\System32. Si vous pensez qu’ils ont été détournés, vérifiez C:\Windows\Temp. Si vous y voyez svchost.exe, il pourrait s’agir d’un fichier malveillant. Analysez le fichier avec votre logiciel antivirus et mettez-le en quarantaine si nécessaire.
Explorer.exe
Explorer.exe est responsable de l’interface graphique de Windows. Sans lui, vous n’auriez pas de barre des tâches, de menu Démarrer, de gestionnaire de fichiers, ni même de Bureau. Il s’agit donc d’un élément essentiel de Windows qui ne peut être désactivé.
Plusieurs virus peuvent utiliser le nom de fichier explorer.exe pour se cacher, notamment trojan.w32.ZAPCHAST. Le fichier légitime se trouve dans C:\Windows. Si vous le trouvez dans System32, vous devez absolument le vérifier avec votre logiciel antivirus.
Winlogon.exe
Le processus winlogon.exe est un élément essentiel du système d’exploitation Windows. Il gère des éléments tels que le chargement du profil de l’utilisateur lors de la connexion et le verrouillage de l’ordinateur lorsque l’économiseur d’écran s’exécute. Malheureusement, parce qu’ils gèrent des éléments de sécurité, Windows Logon et le processus winlogon.exe sont des cibles courantes pour les menaces.
Plusieurs chevaux de Troie, dont Vundo, peuvent être cachés ou déguisés en winlogon.exe. L’emplacement habituel du fichier winlogon.exe est C:\Windows\System32. Si vous le trouvez dans C:\Windows\WinSecurity, il pourrait être malveillant. Une utilisation anormalement élevée de la mémoire est une bonne indication que le processus winlogon.exe a été détourné.
Csrss.exe
Le sous-système d’exécution client/serveur, ou csrss.exe, est un processus Windows essentiel. Bien qu’il ne soit pas aussi largement utilisé dans les versions modernes de Windows, il est toujours requis par le système et ne peut pas être désactivé.
Le virus Nimda.E est connu pour imiter le processus csrss.exe, mais ce n’est pas la seule menace potentielle. Le fichier légitime devrait se trouver dans les dossiers System32 ou SysWOW64. Cliquez avec le bouton droit de la souris sur le processus csrss.exe dans le Gestionnaire des tâches et choisissez Ouvrir l’emplacement du fichier. S’il se trouve ailleurs, il s’agit probablement d’un fichier malveillant.
Lsass.exe
Lsass.exe est un processus essentiel responsable de la stratégie de sécurité de Windows. Il vérifie le nom de connexion et le mot de passe, entre autres procédures de sécurité. Il est peu probable que ce processus soit détourné. S’il ne fonctionne pas correctement, vous serez généralement déconnecté automatiquement de votre ordinateur. Mais les virus sont connus pour utiliser le nom de fichier pour se cacher.
Recherchez le fichier lsass.exe dans C:\Windows\System32. C’est le seul emplacement où vous devriez le trouver. Si vous le trouvez à un autre endroit, comme C:\Windows\System ou C:\Program Files, agissez avec méfiance et analysez le fichier à l’aide de votre antivirus.
Services.exe
Le processus services.exe est responsable du démarrage et de l’arrêt de divers services Windows essentiels. Comme les autres processus Windows de cette liste, les virus et les logiciels malveillants le ciblent parce qu’il leur permet de se dissimuler.
Si le fichier est détourné, vous risquez de rencontrer des problèmes lors du démarrage et de l’arrêt de votre PC. Recherchez le véritable fichier services.exe dans le dossier System32. S’il se trouve ailleurs, par exemple dans C:\Windows\ConnectionStatus, il pourrait s’agir d’un virus.
Spoolsv.exe
Le service Windows Print Spooler, ou spoolsv.exe, est un élément important de l’interface d’impression. Il fonctionne en arrière-plan, attendant de gérer des éléments tels que la file d’attente d’impressions lorsque cela est nécessaire. Le processus ne dépend pas de la connexion d’une imprimante, vous ne devriez donc pas être surpris de le voir dans le Gestionnaire des tâches.
C’est peut-être parce que spoolsv.exe passe facilement inaperçu qu’un virus peut prendre ce nom pour se donner l’air légitime. Le véritable fichier spoolsv.exe se trouve dans C:\Windows\System32. Le faux fichier apparaît souvent dans C:\Windows, ou dans un dossier du profil de l’utilisateur.
Les processus mentionnés ici sont essentiels au bon fonctionnement de Windows. Mais tous ne le sont pas, et de nombreux processus non essentiels peuvent même être fermés pour améliorer les performances.
Comment vérifier si un processus est légitime ?
Le Gestionnaire des tâches est votre ami lorsque vous recherchez une activité suspecte. Les processus infectés se comportent souvent de manière erratique, en consommant plus de puissance de l’unité centrale et de mémoire que d’habitude. Mais ce n’est pas toujours le cas. Voici donc d’autres moyens de vérifier la légitimité d’un processus.
La plupart des processus essentiels répertoriés ici ne devraient apparaître que dans le dossier System32. Vous pouvez facilement vérifier l’emplacement d’un fichier suspect dans le Gestionnaire des tâches. Cliquez avec le bouton droit de la souris sur un processus et sélectionnez Ouvrir l’emplacement du fichier. Vérifiez le chemin du dossier qui s’ouvre pour vous assurer que le fichier se trouve au bon endroit.
Un autre moyen de savoir si un fichier est légitime est de vérifier sa taille. La plupart des fichiers .exe de ces processus essentiels pèsent moins de 200 ko. Cliquez avec le bouton droit de la souris sur le nom du processus dans le Gestionnaire des tâches, sélectionnez Propriétés et vérifiez sa taille. Si la taille du processus semble anormalement élevée, examinez-le de plus près pour déterminer s’il est sûr.
Vous pouvez également vérifier le certificat du fichier EXE. Un fichier authentique possède un certificat de sécurité délivré par Microsoft. Si vous voyez autre chose, il est probable qu’il s’agisse d’un fichier malveillant.
La dernière chose à faire est d’analyser les fichiers suspects à l’aide d’un antivirus à jour. Mettez en quarantaine et supprimez tous les fichiers signalés comme infectés. Heureusement, les versions modernes de Windows intègrent Microsoft Defender.
Conclusion
Pour protéger votre PC Windows des logiciels malveillants et des virus, il faut savoir où ils se cachent. Parfois, un fichier malveillant se comporte de manière étrange, en utilisant trop de CPU et de mémoire. Mais ce n’est pas toujours le cas. Il est donc utile de savoir repérer un fichier suspect par d’autres moyens.