KMService.exe: що це - вірус або нешкідливе?

Користувачі, які набувають стаціонарні комп'ютерні термінали або ноутбуки з вже встановленою системою і супутніми програмними продуктами, нерідко стикаються з тим, що в «Диспетчері завдань» постійно видно активний процес працює KMService.exe. Що це за служба? Про це знають далеко не всі, а більшість людей взагалі вважає її вірусом. Насправді так це тільки почасти.

KMService.exe: що за процес?

Сам процес, який всіх так дивує своєю присутністю, вірусом не є. Він являє собою службу, яка спочатку з'являється в системних процесах після активації неліцензійного MS Office 2010.


Ситуація така, що багато користувачів (якщо не абсолютна більшість) викладати гроші за офісний пакет не хочуть (або не можуть). У свою чергу, встановлений «Офіс» після закінчення певного часу починає вимагати активації пакета. Ось тут на допомогу і приходить спеціальний додаток, результатом роботи якого є поява фонового процесу KMService.exe. Що це за програмне забезпечення? Все просто!

KMService.exe: що це з точки зору програмного забезпечення?

Оскільки коду активації для «Офісу» у користувача немає, то для його нормальної роботи вбудоване засіб захисту від використання неліцензійних копій треба якось обдурити. Для цього і використовується утиліта mini-KMS Activator, що дозволяє зробити активацію Office 2010 VL, встановити ключі або скинути статус пробної версії (Trial). Іншими словами, активатор повідомляє системі захисту офісного пакету, що за нього заплачено гроші, і генерує ліцензію. Як правило, після запуску утиліти в її портативному вигляді файл додатки і супутні компоненти зберігаються по дорозі C:WindowsKMService.exe або в однойменній папці з файлом кореневої директорії системи (хоча можливі й інші варіанти).

Види файлів і варіанти їх розташування після запуску

Якщо говорити про збереження елементів утиліти разом з виконуваним файлом після старту або встановлення основного додатка, то не завжди вони можуть перебувати саме в основній папці системи. Так, наприклад, іноді можна зустріти варіант збереження по дорозі C:WindowsactofvlKMService.exe (в оновленій версії утиліти). І саме основний EXE-файл, який відповідає за постійне спостереження за станом ліцензії «Офісу» протягом певного терміну, виробляючи її реактивацію без участі користувача. При цьому, незважаючи на розміщення файлу по дорозі C:WindowsactofvlKMService.exe багато користувачі зовсім не звертають уваги на те, що запуск однойменного процесу можна побачити ще й у так званому «Планувальнику завдань». Інша справа – коли користувач зустрічає такий виконуваний файл в теці System32 при включеному відображення прихованих об'єктів. Це вже говорить про те, що даний файл є вірусом, який маскується під активатор. Як правило, сама програма в цю системну папку ніколи і нічого не зберігає. По всій видимості, видалити такий об'єкт вручну не вийде - доведеться використовувати антивірусний сканер.

Чому спрацьовує антивірус?

Часто ще на стадії першого запуску портативної версії штатні антивіруси (Windows Defender в тому числі) видають попередження про можливу загрозу. В системному треї з'являється повідомлення про те, що запускається аплет містить модифікований Worm:Win32/AutoKMS (або KeyGen). Це нормально, оскільки практично всі антивіруси (за рідкісним винятком) налаштовані таким чином, щоб не пропускати в систему генератори ключів (кейгены), встановлюючи для них атрибути потенційно шкідливого або небажаного ПЗ, хоча насправді в тілі програми (у програмному коді) нікою вірусної загрози немає. Тут спрацьовує захист ліцензування (особливо, якщо запускається процес для KMService Srvany.exe, який дійсно може бути вірусом). Але є й інші різновиди шкідливих кодів і програм. Найвідоміша загроза, здатна маскуватися під процес KMService.exe, – сумно відомий вірус HKTL_KEYGEN. Але визначити, вірус це, можна самому навіть за розміром файлу. Існує кілька модифікацій з розмірами 151522 байт, 151622 байт, 151606 байт, 155648 байт і 77824 байт.

Наскільки законно застосування програми?

Продовжуємо розглядати процес KMService.exe. Що це таке, ми вже розібралися. Подивимося тепер на деякі правові аспекти. З точки зору міжнародного законодавства, оскільки програмний продукт MS Office 2010 захищений авторськими правами інтелектуальної власності, не кажучи вже про безліч інших правових документів і норм, застосовувати дану утиліту, зрозуміло, протизаконно. Використовувати її можна тільки на свій страх і ризик. Але коли це нашого користувача зупиняло? Тим більше, що перевірити дійсну активацію офісного пакету онлайн неможливо навіть при всіх наявних у розпорядженні корпорації Microsoft ресурсах.

Нова версія активатора

Дана утиліта є дещо застарілою. Сьогодні можна зустріти більш розширену версію програми під назвою KMSAuto Net. Оновлена версія може активувати не тільки «Офіс», але й генерувати ліцензії всіх відомих модифікацій самих Windows-систем. Крім того, додаток побудовано таким чином, що ні антивірус, ні вбудований брэндмауэр вже не реагують, а утиліта запускається без проблем. І вона випускається виключно у вигляді портативної версії, що повністю виключає реакцію з боку захисту при спробі інсталяції.

Висновок

Як вже зрозуміло, ситуація при появі такого процесу серед системних служб не є катастрофічною. Правда, в залежності від місця розташування самого виконуваного файлу, яке користувач може відстежити абсолютно елементарно, доведеться приймати рішення про видалення загрози, особливо, якщо офісний пакет він встановлював сам і не активував за допомогою однієї з версій утиліти керування КЛЮЧАМИ.