KMService.exe: што гэта - вірус або бясшкоднае ПА?

Карыстальнікі, якія набываюць стацыянарныя кампутарныя тэрміналы або наўтбукі з ужо ўсталяванай сістэмай і спадарожнымі праграмнымі прадуктамі, нярэдка сутыкаюцца з тым, што ў «Дыспетчару задач» увесь час бачны актыўны працуе працэс KMService.exe. Што гэта за служба? Пра гэта ведаюць далёка не ўсе, а большасць людзей і зусім лічыць яе вірусам. На самай справе так гэта толькі збольшага.

KMService.exe: што за працэс?

Сам працэс, які ўсіх так здзіўляе сваёй прысутнасцю, вірусам не з'яўляецца. Ён уяўляе сабой службу, якая першапачаткова з'яўляецца ў сістэмных працэсах пасля актывацыі неліцэнзійнага MS Office 2010.

Сітуацыя такая, што многія карыстальнікі (калі не абсалютная большасць) выкладваць грошы за офісны пакет не хочуць (ці не могуць). У сваю чаргу, усталяваны «Офіс» па заканчэнні пэўнага часу пачынае патрабаваць актывацыі пакета. Вось тут на дапамогу і прыходзіць спецыяльны дадатак, вынікам працы якога з'яўляецца з'яўленне фонавага працэсу KMService.exe. Што гэта за праграмнае забеспячэнне? Усё проста!

KMService.exe: што гэта з пункту гледжання праграмнага забеспячэння?

Паколькі кода актывацыі для "Офіса» карыстальнік ня мае, то для яго нармальнай працы убудаванае сродак абароны ад выкарыстання неліцэнзійных копій трэба неяк падмануць.

Для гэтага і ўжываецца ўтыліта mini-KMS Activator, якая дазваляе вырабіць актывацыю Office 2010 VL, усталяваць ключы або скінуць статус пробнай версіі (Trial). Іншымі словамі, актыватар паведамляе сістэме абароны офіснага пакета, што за яго заплачаныя грошы, і генеруе ліцэнзію. Як правіла, пасля запуску ўтыліты ў яе партатыўным выглядзе файл прыкладання і спадарожныя кампаненты захоўваюцца па шляху C: \ Windows \ KMService.exe або ў аднайменнай з файлам тэчцы каранёвай дырэкторыі сістэмы (хоць магчымыя і іншыя варыянты).

Віды файлаў і варыянты іх размяшчэння пасля запуску

Калі гаварыць пра захаванне элементаў ўтыліты разам з выкананым файлам пасля старту альбо ўсталявання асноўнага прыкладання, то не заўсёды яны могуць знаходзіцца менавіта ў асноўны тэчцы сістэмы.

Так, напрыклад, часам можна сустрэць варыянт захавання па шляху C: \ Windows \ actofvl \ KMService.exe (у абноўленай версіі ўтыліты).

І менавіта асноўны EXE-файл адказвае за пастаяннае сачэнне за станам ліцэнзіі «Офіса» на працягу пэўнага тэрміну, вырабляючы яе рэактывацыі без удзелу карыстальніка. Пры гэтым, нягледзячы на размяшчэнне файла па шляху C: \ Windows \ actofvl \ KMService.exe, многія карыстальнікі зусім не звяртаюць увагі на тое, што запуск аднайменнага працэсу можна ўбачыць яшчэ і ў так званым «планавальніка заданняў».

Іншая справа - калі карыстальнік сустракае такой выкананы файл у дырэкторыі System32 пры ўключаным адлюстраванні схаваных аб'ектаў. Гэта ўжо гаворыць аб тым, што гэты файл з'яўляецца вірусам, які маскіруецца пад актыватар. Як правіла, сама праграма ў гэтую сістэмную тэчку ніколі і нічога не захоўвае. Па ўсёй бачнасці, выдаліць такі аб'ект ўручную не атрымаецца - прыйдзецца выкарыстоўваць антывірусны сканар.

Чаму спрацоўвае антывірус?

Часта яшчэ на стадыі першага запуску партатыўнай версіі штатныя антывірусы (Windows Defender у тым ліку) выдаюць папярэджанне аб магчымай пагрозе.

У сістэмным трэі з'яўляецца паведамленне пра тое, што які запускаецца аплет ўтрымлівае мадыфікаваны HackTool: Win32 / AutoKMS (або KeyGen). Гэта нармальна, паколькі практычна ўсе антывірусы (за рэдкім выключэннем) настроены такім чынам, каб не прапускаць у сістэму генератары ключоў (кейгены), усталёўваючы для іх атрыбуты патэнцыйна небяспечнага або непажаданага ПА, хоць на самай справе ў целе праграмы (у праграмным кодзе) нікай віруснай пагрозы няма.

Тут спрацоўвае абарона ліцэнзавання (асабліва, калі запускаецца працэс для KMService Srvany.exe, які сапраўды можа з'яўляцца вірусам).

Але ёсць і іншыя разнавіднасці шкоднасных кодаў і праграм. Самая вядомая пагроза, здольная маскіравацца пад працэс KMService.exe, - сумна вядомы вірус HKTL_KEYGEN. Але вызначыць, вірус ці гэта, можна самому нават па памеры файла. Існуе некалькі мадыфікацый з памерамі 151,522 байт, 151,622 байт, 151,606 байт, 155,648 байт і 77,824 байт.

Наколькі законна прымяненне праграмы?

Працягваем разглядаць працэс KMService.exe. Што гэта такое, мы ўжо разабраліся. Паглядзім цяпер на некаторыя прававыя аспекты.

З пункту гледжання міжнароднага заканадаўства, паколькі праграмны прадукт MS Office 2010 абаронены аўтарскімі і правамі інтэлектуальнай уласнасці, не кажучы ўжо пра мноства іншых прававых дакументаў і нормаў, ужываць дадзеную ўтыліту, зразумела, супрацьзаконна. Выкарыстоўваць яе можна толькі на свой страх і рызыка. Але калі гэта нашага карыстальніка спыняла? Тым больш што праверыць сапраўдную актывацыю офіснага пакета онлайн немагчыма нават пры ўсіх наяўных у распараджэнні карпарацыі Microsoft рэсурсах.

Новая версія актыватара

Разгляданая ўтыліта з'яўляецца некалькі састарэлай. Сёння можна сустрэць больш пашыраную версію праграмы пад назвай KMSAuto Net.

Абноўленая версія можа актываваць не толькі «Офіс», але і генераваць ліцэнзіі ўсіх вядомых мадыфікацый саміх Windows-сістэм. Акрамя таго, прыкладанне пабудавана такім чынам, што ні антывірус, ні убудаваны брэндмаўэр ўжо не рэагуюць, а ўтыліта запускаецца без праблем. І выпускаецца яна выключна ў выглядзе партатыўнай версіі, што цалкам выключае рэакцыю з боку абароны пры спробе інсталяцыі.

заключэнне

Як ужо зразумела, сітуацыя пры з'яўленні такога працэсу сярод сістэмных службаў катастрафічнай не з'яўляецца. Праўда, у залежнасці ад месца размяшчэння самага выкананага файла, якое карыстальнік можа адсачыць зусім элементарна, прыйдзецца прымаць рашэнне аб выдаленні пагрозы, асабліва, калі офісны пакет ён усталёўваў сам і не актываваў пры дапамозе адной з версій ўтыліты KMS.