Un lector de TechJunkie me contactó ayer para preguntarme sobre un servicio particular de Windows que notó en su máquina. Era 'conhost.exe' y el lector se preguntó qué era, qué hacía y si era seguro ejecutarlo en su PC o no.
Dadas todas las novedades sobre seguridad informática, es natural que las personas estén preocupadas por los servicios que no reconocen. Siempre sugeriría averiguar qué es un servicio o programa y qué hace si no lo reconoce de inmediato. Incluso los sistemas más seguros pueden ser susceptibles al malware. ¡Entonces es mejor prevenir que curar!
Siempre estoy feliz de responder preguntas relacionadas con Windows siempre que puedo, así que aquí está todo lo que sé sobre conhost.exe.
Conhost.exe en Windows
Conhost.exe aparece como Host de consola de Windows en computadoras con Windows 10. Abra el Administrador de tareas (haga clic con el botón derecho en la barra de tareas de Windows y selecciónelo), luego desplácese hacia abajo a los procesos de Windows y debería haber una o más instancias de él ejecutándose. Puede ver más instancias, puede que no.
Varias instancias de Conhost.exe están bien si tiene varios programas abiertos, pero si acaba de iniciar su computadora desde un estado apagado, significa que tiene algunos programas ejecutándose en segundo plano que no necesita.
¿Qué hace Conhost.exe?
Conhost.exe es una evolución de crss.exe que se ejecutaba en versiones anteriores de Windows como XP. Crss.exe era una API de intermediario que permitía que las aplicaciones GUI interactuaran con aplicaciones que no son GUI, como la línea de comandos. Por ejemplo, si tenía un archivo de texto que contiene un comando por lotes, podría arrastrar ese archivo de texto a CMD y la línea de comandos podría ejecutar el archivo por lotes. Los programas que usaban una GUI también usarían crss.exe. para interactuar con la consola detrás de escena.
Crss.exe permitió a la consola realizar operaciones de arrastrar y soltar en una consola tradicionalmente sin arrastrar y soltar. Sin embargo, crss.exe utilizó la cuenta del sistema local para trabajar, que tiene muchos privilegios sobre una computadora. Crss.exe teóricamente permitía que los exploits interactuaran entre cuentas de usuario restringidas donde funcionaban los programas GUI y la cuenta del sistema local donde funcionaban las aplicaciones de consola. Esto proporcionó una especie de puente para que el malware obtuviera acceso irrestricto a su computadora.
Crss.exe se reemplazó con conhost.exe en Windows 7 y todavía está presente en Windows 10. Todavía hace lo mismo que crss.exe pero sin otorgar acceso a las cuentas del sistema local o privilegios elevados.
El sitio web de Microsoft Technet tiene una página útil sobre crss.exe y conhost.exe.
Algunos sitios web de tecnología hablan de conhost.exe sobre la estética y el tema, pero no creo que esto sea cierto. La página de Technet explica que se introdujo conhost.exe para ayudar a proteger el núcleo de Windows al romper ese puente entre las cuentas de usuario y las cuentas de máquina local. No menciona nada sobre cómo aparece la consola.
Mi propia experiencia con Windows Server de varias generaciones lo respalda. Desde Server 2003, Microsoft trabajó mucho para separar el sistema operativo central de las cuentas de usuario para hacerlo más seguro. No se pensó mucho en cómo se veía. Se trataba de cómo funcionaba.
¿Es conhost.exe seguro?
Como probablemente ya sepa, algunos programas maliciosos pueden imitar las propiedades de los procesos o programas legítimos de Windows. Entonces, aunque en la superficie puede parecer obvio que conhost.exe es seguro, siempre es una buena idea verificarlo. Así es cómo.
- Haga clic derecho en la barra de tareas de Windows y seleccione Administrador de tareas.
- Desplácese hacia abajo a los procesos de Windows y busque la consola de Windows Host.
- Haga clic derecho y seleccione Propiedades.
En Ubicación, debería ver C: \ Windows \ System32. Todas las instancias de conhost.exe deben ejecutarse desde System32, por lo que si ve esto, es seguro. Si la ubicación del archivo es algo diferente, es probable que no sea legítima.
Una forma de verificar es usar Process Explorer. Este es un programa que toma el Administrador de tareas y lo convierte en 11. Abra Process Explorer y busque conhost.exe. Además de mostrarte que es legítimo, también debería mostrarte con qué programa está interactuando. En la imagen, puede ver que la de mi máquina con Windows 10 funciona con el proceso de Nvidia Web Helper. Esta es una instancia legítima de conhost.exe.
Puede repetir este proceso para cualquier proceso de Windows que desee verificar. Cada proceso debe tener su ubicación en C: \ Windows \ System32. Si no es así, ejecute su escáner antivirus y de malware por si acaso. Para procesos en segundo plano, la ubicación debe coincidir con el directorio instalado del proceso.
Espero que haya respondido adecuadamente la pregunta. Sí, conhost.exe es legítimo y sí, es seguro siempre que tenga su ubicación en C: \ Windows \ System32.
¿Tienes algún otro proceso de Windows sobre el que te gustaría saber más? ¡Cuéntanos sobre ellos a continuación si lo haces y trataré de responder tantos como pueda!
