Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров3.4K
Привет, Хабр!
Сегодня я продолжу рассказывать про Component Object Model (COM) и атаку COM Hijacking.
В предыдущей части «Тайная жизнь COM: погружение в методы hijacking» я разобрала способы hijacking, а из первой статьи мы также узнали, что вызов этой полезной нагрузки может происходить по расписанию в случае с запланированной задачи или при запуске пользователем какого-либо ПО.
Но у вас может возникнуть вопрос, а что, если я хочу самостоятельно вызывать COM-объект, не дожидаясь каких-либо сторонних событий? Предвосхищая его, в этой статье я как раз и хочу рассказать вам немного об этом, а после мы рассмотрим, как можно детектировать атаку COM Hijacking.
И предлагаю начать со способов запуска COM-объектов штатными средствами Windows.
COM-клиенты или запуск COM-объектов
В этом разделе я рассмотрю наиболее популярные способы запуска COM-объекта после выполнения hijacking: rundll32, powershell, verclsid, xwizard и mmc, но без какой-либо их детализации. Так как данные утилиты хоть и связаны с COM, но уже больше относятся к другим техникам, например, как: Inter-Process Communication: Component Object Model (T1559.001) или System Binary Proxy Execution (T1218). Список утилит, рассмотренных мною, не является исчерпывающим, существуют и другие инструменты, позволяющие выполнить запуск COM-объекта. Но их глубокое изучение не является нашей целью сегодня.
rundll32
rundll32 — исполняемый файл, который предназначен для запуска DLL-файлов. С помощью данного способа можно запускать COM-объекты, у которых используется ключ InprocServer.
rundll32.exe -sta {CLSID}
rundll32.exe -sta {ProgID}
powershell
Следующей утилитой будет Powershell. Запуск через нее универсален, то есть он подходит как для InprocServer, так и для LocalServer. Для запуска можно использовать командлеты CreateInstance или New-Object:
#CLSID
[activator]::CreateInstance([type]::GetTypeFromCLSID("0002DF01-0000-0000-C000-000000000046"))
#ProgID
[System.Activator]::CreateInstance([type]::GetTypeFromProgID("Hijack.Scriptlets"))
#Удаленный запуск через DCOM
[System.Activator]::CreateInstance([type]::GetTypeFromProgID("Hijack.Scriptlets","10.150.50.101"))
New-Object -ComObject Hijack.Scriplets
verclsid
Еще один способ, с помощью verclsid.exe, который проверяет COM-объект перед тем, как будет создан его экземпляр Windows Explorer’ом. Данный способ использовался в фишинговой атаке. Verclsid.exe аналогично rundll32.exe позволяет запускать COM-объекты с ключом InprocServer.
verclsid.exe /S /C {72C24DD5-D70A-438B-8A42-98424B88AFB8}
xwizard
xwizard.exe — это предустановленная диагностическая утилита Windows для различных исполняемых файлов, которая также загружает dll-файлы для различных задач.
xwizard.exe RunWizard /taero /u {72C24DD5-D70A-438B-8A42-98424B88AFB8}
mmc
Существует достаточное количество компонентов с графическим интерфейсом с поддержкой COM. Например, mmc.exe, iexplore.exe, winword.exe и др.
Рассмотрим пример запуска COM-объекта с помощью mmc:
-
Для начала создаем свою оснастку (файл .msc) с требуемым
CLSIDи сохраняем ее; -
Далее можем ее открыть в GUI mmc.exe или через командную строку:
mmc.exe -Embedding C:\Users\user\hijack.msc
Также существует возможность добавить в автозапуск, тогда при каждом входе в систему будет выполняться наш CLSID.
Запланированный задачи
Еще один из способов — запланированные задачи (Scheduled Tasks). Про них упоминалось в самой первой статье про COM: Выбор COM-объекта для атаки. Графический интерфейс не позволяет создавать задачи, где по триггеру будет запускаться COM-объект, но есть уже созданные по умолчанию. Их и можно использовать для перехвата COM, а также попробовать создать новую задачу через Реестр или написать свой код. Задачи с обработчиком Customer Handler выполняются из HKCR\CLSID. В результате после перехвата наш COM-объект будет выполняться по уже установленному триггеру или этот триггер можно переопределить. Но в событиях это является «лишним шумом».
Мы рассмотрели наиболее очевидные способы для запуска COM-объекта, а теперь предлагаю вернуться к основной теме статьи и проанализировать события в журналах Windows, возникающие при проведении атаки COM Hijacking.
Анализ событий
Для всех рассмотренных в прошлой статье методов hijacking, кроме подмены dll на диске, в комбинации с рассмотренными утилитами формируются идентичные события в журналах Windows. Во всех способах происходит изменение реестра в одних и тех же ветках, но в то же время отличаются редактируемые ключи. В журнале Security за изменения в реестре отвечает событие 4657 (A registry value was modified), но для формирования данного события требуется настроить SACL (пример как настраивать приведен под спойлером в конце раздела).
Аналогичные события можно получить благодаря Sysmon EventID 12 и 13 (RegistryEvent) и для этих событий не требуется настраивать SACL. На рисунках 3 и 4 видно, что с помощью утилиты powershell были в реестре созданы ключи {72C24DD5-D70A-438B-8A42-98424B88AFB8} и InprocServer32, а далее на рисунках 5 и 6 установлены значения для InprocServer32 и ThreadingModel.
Как мы видим, по информативности события совпадают: у нас есть возможность получить такие ключевые значения, как User (Account Name), Image (Process Name), TargetObject (Object Name + Object Value Name), EventType (Operation Type), Details (New value). Дополнительно в событии 4657 мы получим LogonID, с помощью которого можно проследить все действия пользователя за конкретную сессию. Но есть одно НО: 4657 не регистрирует события создания нового ключа в реестре и установка значения вDefault, именно в этом поле указываются dll \ exe файлы. Таким образом, ориентируясь только на это событие, есть вероятность пропустить атаку, так как можно обойтись только созданием ключей и указанием Default значений.
Из этих событий также видно, что при изменении ветки HKCU на самом деле происходит изменение HKU\{SID}. Данный момент является подтверждением того, что HKCU — ссылка на HKU текущего пользователя.
При использовании ключа InprocServer не мало важным событием является Sysmon 7 (Image loaded), которое свидетельствует о подгрузке вредоносной dll в процесс (рисунок 7). При использовании ключа LocalServer вредоносный процесс подгружает сам себя (рисунок 8).
В случае с использованием LocalServer32 запуск вредоносного COM-объект происходит от имени процесса svchost.exe -k DcomLaunch -p. Проследить это можно с помощью EventID 4688 (A new process has been created) или Sysmon 1 (Process creation).
Также благодаря Process Creation есть возможность отследить, с помощью какой утилиты изменялся реестр и с какими аргументами она запускалась. Если атакующий будет использовать собственное ПО с применением API для редактирования реестра, то отследить такие операции с помощью Process Creation не получиться, только запуск этого ПО.
Настройка SACL для мониторинга реестра
Для начала требуется включить политику с помощью групповой политики: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Registry со значениями Success and Failure.
Посмотреть и выставить SACL можно в оснастке редактирования реестра (Registry Editor). Для этого нужно перейти в реестр по веткам перечисленным в разделе Представление COM-объектов в реестре. Далее перейти в Permissions → Advanced → Auditing → Add
В данном разделе статьи мы проанализировали события, возникающие при атаке COM Hijacking. Большинство способов проведения атаки полагаются на изменения в реестре и отследить их можно с помощью Sysmon EventID 12 и 13. Теперь давайте посмотрим, как эта информация может нам помочь при построении детекта.
Детектирование
Техника захвата COM не является легко обнаруживаемой, потому что она использует доверенные системные процессы. Из анализа событий выше становится ясно, что наиболее универсальным и подходящим решением для детектирования будет использование мониторинга изменений в реестре по веткам:
-
HKEY_CURRENT_USER\SOFTWARE\Classes -
HKEY_LOCAL_MACHINE\SOFTWARE\Classes -
HKEY_CLASSES_ROOT\ -
HKEY_CURRENT_USER\SOFTWARE\WOW6432Node\Classes -
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Classes -
HKEY_CLASSES_ROOT\WOW6432Node
Существуют разные классы программного обеспечения для решения данной проблемы. Так отслеживание аномалий в изменении реестра можно проводить с помощью EDR и \ или UEBA решений. SIEM-система тоже подходит для отслеживания изменений, но при установке нового легитимного ПО или обновлениях текущего будут присутствовать ложно-положительные сработки, и каждый такой кейс требует внимания специалиста. За основу событий лучше брать события Sysmon с номерами 12, 13, так как они отражают не только установление значения, но и создание новых ключей в отличии от 4657.
При использовании dll в качестве COM-объекта следует отслеживать аномалии в подгрузке нетипичной dll легитимным ПО, сделать это можно с помощью Sysmon EventID 7.
Также подозрительным является тот факт, что COM-объект для пользователя и для машины будет иметь разные DLL\EXE. При подмене dll на диске можно рассматривать подозрительную запись файла в нетипичную для пользователя директорию. Также во всех случаях проводится проверка доставленного исполняемого файла антивирусом на известные сигнатуры и поведенческий анализ.
Что еще стоит посмотреть
При COM-Hijacking происходит подмена выполняемой dll. Логично, что в злонамеренную dll не зашит первоначальный функционал COM-объекта. Поэтому, в случае попытки легитимного обращения к COM-объекту могут возникать ошибки, и требуемый запрос не будет выполнен. Это должно насторожить пользователя. На git есть проект COMProxy, в котором реализуется поиск легитимной dll в ветке реестра HKLM и проксирование на нее с помощью DllGetClassObject. Зловредный функционал также нужно реализовать в этой dll. Таким образом, при легитимном обращении к COM-объекту не возникнет никаких ошибок и требуемые задачи будут отработаны, а параллельно могут выполняться зловредные действия. Также в проекте есть пример COM-клиента, но в данном случае сохраняется работоспособность запуска полезной нагрузки, перечисленной выше. Пример приводится на COM-объект WScript.Shell, однако данная dll может быть внедрена в любой другой объект.
Заключение
Это была заключительная часть из данной серии статей, в которых я попыталась раскрыть несколько важных моментов о Component Object Model. Ранее мы узнали о том, какие ключи в реестре важны для атаки COM-hijacking и какими правами необходимо обладать для редактирования этих ключей. А после мы изучили стратегии, которыми может пользоваться атакующий для выбора COM-объекта для последующей атаки на него, и какими способами можно осуществить перехват
В этой части я рассказала о том, как запустить скомпрометированный объект, а также обсудили самое главное — это как выявлять атаку. Однозначное детектирование COM-hijacking не является тривиальной задачей, поэтому потребуется использовать средства, которые могут анализировать аномалии в реестре с помощью Machine Learning. Если компания не обладает такими решениями, но есть SIEM или другие инструменты, умеющие анализировать журналы с событиями по типу sigma, можно осуществлять мониторинг по событиям sysmon 12,13. Однако при обновлении или установке легитимных программных средств могут возникать ложно-положительные сработки, и каждый такой кейс будет требовать внимания специалиста.
Спасибо всем за внимание! Пишите комментарии и задавайте вопросы!
Автор: Кожушок Диана( @wildresearcher ) аналитик-исследователь киберугроз в компании R-Vision
The genuine verclsid.exe file is a software component of Microsoft Windows Operating System by .
«Verclsid.exe» is Microsoft’s «Shell Extension CLSID Verification Host». Both 32-bit and 64-bit versions exist. The version for the system’s architecture is in «C:\Windows\System32»; on 64-bit systems the 32-bit version is in «C:\Windows\SysWOW64». The Shell is the GUI for user interaction with Windows, including the desktop and File Explorer. Shell Extensions are in-process COM servers: they are DLL’s that load into File Explorer’s process space. Introduced in a 2006 update to validate COM Shell Extensions before they execute, «verclsid.exe» is still used in Windows 10. Because every Shell Extension’s CLSID must be in the Registry, «verclsid.exe» probably verifies this is true.
VerCLSID stands for Verify COM Shell Extension CLSID
The .exe extension on a filename indicates an executable file. Executable files may, in some cases, harm your computer. Therefore, please read below to decide for yourself whether the verclsid.exe on your computer is a Trojan that you should remove, or whether it is a file belonging to the Windows operating system or to a trusted application.
Click to Run a Free Scan for verclsid.exe related errors
Verclsid.exe file information
The process known as Verify Class ID belongs to software Microsoft Windows Operating System or VYUPPUE by Microsoft (www.microsoft.com) or ©Wyebugur.
Description: Verclsid.exe is not essential for the Windows OS and causes relatively few problems. The verclsid.exe file is located in the C:\Windows\System32 folder.
Known file sizes on Windows 10/11/7 are 28,672 bytes (87% of all occurrences) or 47,616 bytes.
The program has no visible window. The verclsid.exe file is a trustworthy file from Microsoft. The verclsid.exe file is not a Windows system file.
Therefore the technical security rating is 28% dangerous; however you should also read the user reviews.
Recommended: Identify verclsid.exe related errors
If verclsid.exe is located in a subfolder of the user’s profile folder, the security rating is 70% dangerous. The file size is 290,304 bytes.
The file is not a Windows system file. The program has no visible window. The application starts when Windows starts (see Registry key: DEFAULT\Runonce, User Shell Folders, Run, RunOnce).
Important: Some malware disguises itself as verclsid.exe, particularly when not located in the C:\Windows\System32 folder. Therefore, you should check the verclsid.exe process on your PC to see if it is a threat. We recommend Security Task Manager for verifying your computer’s security. This was one of the Top Download Picks of The Washington Post and PC World.
Best practices for resolving verclsid issues
A clean and tidy computer is the key requirement for avoiding problems with verclsid. This means running a scan for malware, cleaning your hard drive using 1cleanmgr and 2sfc /scannow, 3uninstalling programs that you no longer need, checking for Autostart programs (using 4msconfig) and enabling Windows’ 5Automatic Update. Always remember to perform periodic backups, or at least to set restore points.
Should you experience an actual problem, try to recall the last thing you did, or the last thing you installed before the problem appeared for the first time. Use the 6resmon command to identify the processes that are causing your problem. Even for serious problems, rather than reinstalling Windows, you are better off repairing of your installation or, for Windows 8 and later versions, executing the 7DISM.exe /Online /Cleanup-image /Restorehealth command. This allows you to repair the operating system without losing data.
To help you analyze the verclsid.exe process on your computer, the following programs have proven to be helpful: ASecurity Task Manager displays all running Windows tasks, including embedded hidden processes, such as keyboard and browser monitoring or Autostart entries. A unique security risk rating indicates the likelihood of the process being potential spyware, malware or a Trojan. BMalwarebytes Anti-Malware detects and removes sleeping spyware, adware, Trojans, keyloggers, malware and trackers from your hard drive.
Other processes
firewallsvc64.exe commonlauncher.exe rthdcpd.exe verclsid.exe ultracopier.exe hpbtnsrv.exe avgmfapx.exe timiniservice.exe diskdefragpro.exe systemmonitor.exe mhelper.exe [all]
Phishing is not exactly a new or groundbreaking attack method, but it’s an ongoing problem (likely because it’s effective and we all need e-mail). A wave of Hancitor malware spam campaigns recently hit many organizations. It’s your typical pattern: a non-descriptively named Microsoft Word document sent with email subject lines like “USPS” or “eFax” using macros and heavily obfuscated VBScript to initiate the download of a malicious payload. What’s interesting is not that an Office document is yet again being used to do something untoward…what’s notable is the method being used. Normally you would expect to see something like PowerShell, WScript, or maybe just a plain old command prompt. Instead, a completely different process is launched: verclsid.exe.
What Is Verclsid.exe?
If you’re like us, you probably never heard of verclsid.exe until malware started using it. According to Microsoft, this program was created to “validate shell extensions before they are instantiated by the Windows shell or Windows Explorer.” We’re not entirely sure what exactly this means, but we think the gist was to check COM extensions to see if they would crash explorer.exe.
It was released back in 2006 to mitigate a Remote Code Execution Vulnerability (MS06-015 – 908531) for XP and Server 2003 era systems. However, just to be clear, this isn’t just running on XP systems; the process has persisted into modern operating systems. To be sure, we checked the file system and sure enough found verclsid.exe alive and well on our Windows 10 host. Though it’s not explicitly stated why, there is a whole lot of backwards compatibility that Microsoft does under the surface. This can be both good and bad depending on what you’re trying to do, so banning the process outright is probably not the best plan.
Regardless of its true purpose, what is clear is that verclsid.exe can do things like initiate network connections and download and write files to disk, as evidenced by the below activity, which was observed on a compromised host:
What to Do Next: Investigating Endpoint Data
So we know that verclsid.exe can be used nefariously, but that in and of itself is not terribly helpful. You could try to read the documentation on it, but you’d probably quickly discover that the Microsoft information on this particular process isn’t incredibly voluminous. The question, then, is “What’s next?” Maybe the real goal is not in knowing absolutely everything a process can do, but what does it normally do? We attempted to see if there were any outliers that only happen when it is being used to download and execute malware. Luckily for our investigative purposes, we had a fairly decent dataset of what abnormal behavior looked like across several customers that had been hit by this Hancitor variant, so we already probably had the outliers; we just needed to determine what they were and if they could be used to create a useful detection method.
In this case, having a good amount of diverse endpoint data can give us a lot of insight into a random process—in this case verclsid.exe. To start things off we looked at what verclsid.exe does most of the time, in a single environment where no malicious activity had been observed, with 193,000+ total executions of the process. The following table depicts the range of activity we found.[table id=1 /]
A couple things immediately jump out. First, this process never makes a network connection and it never launches any child processes. Filemod is a potential candidate, but since we’re only looking at range data here and not frequency, we don’t know right off the bat if it’s very common for verclsid.exe to only write one filemod every time.
Let’s go back to our known bad example. We can see that it has a total of five network connections and three child processes. Likely, there’s something we can use here. A lot of what we do at Red Canary is to view things from the lens of “How do we detect this activity?” In this case, making a rule like “anytime verclsid.exe initiates a network connection, let me know” seems like a good start. Since it almost never launches network connections in normal day-to-day use, that rule will likely also have a low false positive rate (which is always nice).
A second option for detection is to look at what process launches verclsid.exe. If it’s almost never a Microsoft Office binary, that could be a good detection rule as well.
Detection is all well and good, but most folks would rather that the ‘badness’ never touched their systems in the first place, and if the payload isn’t delivered as part of the phishing e-mail, it has to be gotten from elsewhere (i.e., the web). So the next question is: can you stop verclsid.exe from making a network connection in the first place?
How to Prevent Verclsid.exe From Malicious Activity
When verclsid.exe is used for its intended purpose, it doesn’t need to make a network connection (at least in our sample set), so why not put something in place that prevents this? That way, even if the initial drop on a system is successful, the subsequent download simply will not happen. Turns out, you can do this—and it doesn’t require any high tech expensive tool. Simply go back to the Windows Firewall conveniently built in into any (or nearly any) modern version of Windows.
Add the following rule (and a second one for ‘%SystemRoot%\system32\verclsid.exe’) to prevent this process from talking outbound.
netsh advfirewall firewall add rule name "Block Egress Verclsid" dir=out program="%SystemRoot%\syswow64\verclsid.exe" enable=yes action=block profile=any
This can of course be implemented via GPO.
Key Takeaways for Defenders
This is just one example of a way that defenders can (at least partially) mitigate attacks that are very likely to get through perimeter defenses. After all, most organizations need (or prefer) Microsoft Office. (Mac users, you’re not exactly safe here either; while vbscript and verclsid.exe are not an issue, you have osascript and python, so…)
The important takeaway is not necessarily to focus specifically on verclsid.exe, as implementing one specific rule will not fix everything. The key lessons are that (a) there are ways to identify when a process is doing something and alert on it, and; (b) sometimes you can use tools (sometimes even built-in OS ones) to mitigate the impact of attacks that do make it past the perimeter.
Readers help support Windows Report. We may get a commission if you buy through our links.
Read our disclosure page to find out how can you help Windows Report sustain the editorial team. Read more
Many factors complain about seeing a verclsid.exe process running in their Task Manager. It is because it sprouts some concerns, and they want to know if it is safe. However, this article will discuss vercisid.exe, how to verify the file, and how to remove it.
Alternatively, you may be interested in our guide about exe files deleting themselves on Windows 11 and some steps for fixing it.
What is verclsid.exe?
In Windows, verclsid.exe is an executable for the Shell Extension CLSID Verification Host.
It is a component that helps validate and verify the integrity of shell extensions using CLSID (Class Identifier) registration.
What is verclsid.exe used for?
- It’s sued to validate and verify the integrity of shell extensions.
- It ensures that registered CLSIDs for shell extensions are valid.
- The verification process occurs during the initialization of the Windows Shell.
- It helps prevent potential issues like crashes, performance problems, and conflicts caused by faulty or incompatible shell extensions.
- Contributes to the overall stability and reliability of the Windows user interface.
Should I remove verclsid.exe?
No, you should not remove the Shell Extension CLSID Verification Host process for the following reasons:
- It will negatively affect the stability and functionality of Windows Shell.
- You might experience the malfunctioning of shell extensions.
- Comparability problems and system errors.
However, system files can become compromised or corrupted by malware and viruses. So, it is possible that verclsid.exe isn’t safe and should be removed. Proceed to the next section to verify.
How to verify if verclsid.exe is safe or a virus?
Observe the following verification steps to check if the verclsid.exe process is safe or a virus:
- Check if the verclsid.exe file on your PC resides in the legitimate directory:
C:\Windows\System32 - Run a virus scan on your computer with trustworthy antivirus software and scan the file
- Verify if the verclsid.exe file is digitally signed and Copyright by Microsoft Windows Corporation.
After going through the steps above and if you notice any irregularities in the file properties, you should be able to decide whether it is safe.
How can I remove verclsid.exe?
1. End task for verclsid.exe
- Right-click the Start button and select Task Manager from the menu.
- Go to the Processes or Details tab. Click the verclsid.exe from the list, right-click on it, then select End Task from the context menu.
- Click OK to confirm that you want to end the task for the program.
- Restart your PC and check if it is still running.
The end tasks steps will stop the verclsid.exe process on your PC. Check our article on what to do if the Task Manager is slow to open or respond on your PC.
2. Remove the verclsid.exe file via File Explorer
- Repeat steps 1 and 2 from the solution above.
- Locate the verclsid.exe in the Task Manager.
- Then, right-click on it and click on Open File Location from the drop-down menu.
- Now, right-click on the verclsid.exe file and delete it.
- Restart your PC.
Deleting the executable file in File Explorer will disable and remove the malicious program using the executable.
- Plugin-container.exe: What is it & Should I Remove it?
- Conhost.exe: What is it & how to Fix Its High CPU Usage
- HydraDM.exe: What is It & Should I Remove It?
- HsMgr64.exe: What is It & Should I Delete It?
- Utorrentie.exe: What is It & Should I Keep It?
In conclusion, you can check what to do if antivirus software is blocking .exe files on the PC. Likewise, you can read our detailed guide on why exe files are not opening and how to fix it on Windows 11.
Should you have further questions or suggestions regarding this guide, kindly drop them in the comments section.
Henderson Jayden Harper
Windows Software Expert
Passionate about technology, Crypto, software, Windows, and everything computer-related, he spends most of his time developing new skills and learning more about the tech world.
He also enjoys gaming, writing, walking his dog, and reading and learning about new cultures. He also enjoys spending private time connecting with nature.
VerClsId.exe is an executable application and is a part of the Microsoft Windows Operating System. It’s not a malware or virus, but can be modified by the third party. Here you will find detail information about VerClsid.exe, its uses, common error and how to fix it.
File detail: Extension CLSID Verification Host
Type: Application
File version: 10.0.18362.1
Copyright: Microsoft Corporation
The full form of VerClsId.exe is Verify Class ID.
What is VerClsid.exe?
VerClsId.exe is known as Extension CLSID Verification Host, where CLSID stands for Class ID.
It is responsible for verifying each shell extensions before they are used by Windows Explorer or Windows shell. This VerClsid.exe was first introduced with Windows XP but now it has been seen with Windows 10 as well.
Shell extensions are pieces of program codes developed by third party authors, who change how the Windows operating system responds to commands. Thus, they modify the way a shell (software code piece) behaves with the system (kernel).
Windows Shell is the graphical user interface for the Windows Operating System. Some of its objects include Taskbar, Start Menu, This PC, Libraries, and Control Panel.
Windows Explorer, also known as File Explorer is the file manager for Windows.
File size & location
- The file size of version 10.0.18362 of VerClsId.exe is approximately 13.5 KB. The file size of its version 5.1.2600.2869 is 28 KB.
- The location of VerClsId.exe is in the C:\Windows\System32 folder and sometime it may be located under C:\Windows\SysWOW64 directory.
Is it safe or a virus?
VerClsId.exe is a part of Windows and is therefore safe and legitimate. But, in case a malware assumes its identity to fool the system’s anti-virus software and firewalls, then it may be dangerous.
There are three ways to identify if such malware exists:
- If the location of the malware is not in the C:\Windows\System32folder
- If it is not copyrighted by Microsoft Corporation.
- If it is not digitally signed by Microsoft Windows Component Publisher.
Common Errors
Common errors that are usually encountered are:
- “End Program – verclsid.exe. This program is not responding”
- “Extension CLSID verification host has stopped working”.
How to Fix VerClsid.exe?
Many people have a complaint that they started receiving verclsid.exe error after downloading the Windows update 908531. If you are not sure whether verclsid.exe is a malware or virus then you may block this application to make an outbound connection. For this, follow the below steps:
1) Click on Windows logo and type Windows Defender Firewall with Advanced Security
2) Click on Outbound Rules located on the left-hand panel.
3) Now click on New-rules located on right-hand-panel
4) A new window will open, click on Program located on the left-hand side
5) Choose the radio button This program path, paste below code and click on the Next button.
%SystemRoot%\system32\verclsid.exe
6) Now choose Block the connection and click on Next button
7) A new window will open, click again on Next, enter the name and brief detail and click on Next.
This will block VerClsid.exe to make any outbound connection.
Make sure to have a reliable Antivirus like Avast or Kaspersky, you may also read comparisons between Avast and Kaspersky here and take your decision.
Another Solution
If you have noticed that VerClsid.exe is running in system background or consuming high CPU usage then you may consider updating your Windows 10. By doing this, your system will have the latest patch and will automatically fix this issue.
Other similar executable files:
BCSSync.exe, Glcnd.exe, Mqsvc.exe, Maps.exe, ehprivjob.exe
