svchost.exe คืออะไร แล้วมันเป็นไวรัส,สปายแวร์เหรอ???

[แดง เลบานอล]

จากคำถามที่ตั้งเป็นหัวข้อบทความในวันนี้ หลายๆคนคงจะเคยเจอหรือตั้งคำถามขึ้นกับตัวเองมาบ้างแล้ว svchost.exe นี้ แท้จริงแล้วมันคืออะไร แล้วทำไมมันจึงกลายเป็นไวรัส, สปายแวร์ไปได้???

svchost.exe คืออะไร

?svchost.exe? หรือชื่อเต็มๆของมันคือ ?Generic Host Process for Win32 Services? ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ re-start ได้ แต่ถ้าเราเผลอไป end proces มันแล้ววหล่ะก็ จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network แล้วหน้าที่ของมันหล่ะ เอาไว้ทำอะไร???

หน้าที่ของ svchost.exe

เจ้า ?svchost.exe? เมื่อมันถูกสั่งรันหรือให้ทำงาน มันจะทำหน้าที่ ก็คือ

จัดการหรือโหลดพวกไฟล์ 32bit-DLLs(dynamic-link libraries) ที่จำเป็นสำหรับ Windows และ Services อื่นๆ ซึ่งมีอยู่หลาย instance หลายกลุ่ม ตามแต่ command line parameter นั้นๆ อันได้แก่ background process ทั้งหลายที่ถูกรันอยู่หลังบ้าน เมื่อ Windows ทำงานแล้วนั่นเอง ซึ่งได้แก่

กลุ่มที่ 1 DCOM Server Process Launcher และ Terminal Services
กลุ่มที่ 2 Remote Procedure Call(RPC)
กลุ่มที่ 3 Windows Audio, Background Intelligent Transfer Service, Computer Browser, Cryptographic Services, DHCP Client, Logical Disk Manager, Error Reporting Service, COM+ Event System, Server,  Workstation, Network Connections, network Location Awareness, Remote Access Connection Manager, Telephony, Themes, Windows Time ฯลฯ
กลุ่มที่ 4 DNS Client
กลุ่มที่ 5 TCP/IP NetBIOS Helper, Remote Registry, SSDP Discovery Service และ WebClient
โดย DLLs แต่ละตัวที่ใช้เรียกนั้นจะอยู่ที่ ?%windir%\System32? หรือทั่วๆไป ก็คือ ?C:\Windows\System32? ทั้งนี้ถ้าต้องการดูรายละเอียดของชื่อ process และ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งาน ดังที่กล่าวไปแล้วนี้ สามารถใช้โปรแกรม Process Explorer เรียกและตรวจสอบดูได้

ตำแหน่งที่อยู่ของ svchost.exe

โดยทั่วไปแล้ว เจ้า ?svchost.exe? จะอยู่ที่ ?%windir%\System32? หรือทั่วๆไป ก็คือ ?C:\Windows\System32? เช่นเดียวกับไฟล์ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งานนั่นแหล่ะ ถ้าอยู่ในตำแหน่งที่อยู่ที่นอกเหนือจากนี้ ให้สันนิฐานไว้เลยว่ามันคือ ไวรัส, สปายแวร์, โทรจัน หรือเวิร์มนั่นเอง ซึ่งสามารถใช้โปรแกรม Security Task Manager (ฟรี) ตรวจสอบได้ หรือจะใช้ช้โปรแกรม Process Explorer เรียกและตรวจสอบก็ได้เช่นเดียวกัน ซึ่งจะทำให้เรารู้ที่มาของไฟล์และ Process ที่รันอยู่ ทำให้เราสามารถกำจัดต้นตอมันได้นั่นเอง

ซึ่งไวรัสที่มีชื่อคล้ายๆกับ เจ้า ?svchost.exe? ขอยกตัวอย่าง เช่น

Symantec Security Response - W32.Welchia.Worm
Symantec Security Response - W32.Assarm@mm
McAfee - W32/Jeefo
หรือ ไฟล์เหล่านี้ ที่พยามยามสร้างให้เหมือนเจ้า ?svchost.exe? ได้แก่

SCVHOST.exe คือ Gaobot viruses
Svch0st.exe คือ Backdoor.Graybird viruses
Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm
Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm
รายละเอียดเพิ่มเติมเกี่ยวกับ svchost.exe

http://support.microsoft.com/default.aspx?scid=kb;EN-US;314056

[แมวอ้วน1422]

1.SCVHOST.exe คือ Gaobot viruses
2.Svch0st.exe คือ Backdoor.Graybird viruses
3.Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
4.Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm
5.Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm


อันที่ 1 กับ 5 เจอบ่อยครับ....ถ้าเข้าไปดูที่  Task Manager จะมีช่อพวกนี้ครับ....
ตัวที่รันโดย System,Local Service  ไม่ใช่ไวรัส...แต่ตัวที่รันโดยชื่อเจ้าของเครื่องน่ะ สงสัยไว้ก่อน



และในเมนู startup ......ต้องไม่มี SVCHOST.EXE รันในตอนเปิดเครื่องเข้าวินโดว์ด้วย...

เหมือนกรณี explorer.exe ครับ แต่จะไม่มี SVCHOST.EXE
ถ้ามี.....SVCHOST.EXE EXPLORER.EXE  ด้วยในส่วนของ startup....


จัดการเลย ตามระเบียบขั้นตอน  จะล้างด้วย เป็ด วิม วิ๊กซอล ก็ตามอัธยาศัยครับ

[แดง เลบานอล]

?? ขอบคุณมากค่ะ คุณแมวอ้วน ที่มาให้สิ่งที่ดีๆเพิ่มเตม ...แบบนี้สมแล้วที่ เป็น Editor คนดีของนาวี22
ที่แท้จริง ปรบมือให้ค่ะ ??

                     

[manuscha]

ขอบคุณเช่นกันคะเพราที่ทำงานมันก็มีตัวนี้โชว์ด้วย