什么是svchost.exe?它是病毒的一种吗?

2015/02/12

SvcHost,也被称为svchost.ext或服务主机,是一种用于承载一个或更多操作系统服务的进程。Svchost.exe Microsoft Windows可执行文件被标记为Generic Host Process for Win32 Service。这是一个 Windows必要的文件,用于加载使用在您计算机上运行的Microsoft Windows与Window程序需要的DLL文件。这个程序对系统的正常运行是非常重要的,而且不能被结束。这个文件是存放在C:\windows\system32或C:\winnt\system32目录中,这取决于您使用的Windows版本,它也可以位于dllcache目录(如果该目录存在)下。

由于svchost.exe是被用作公共系统进程,一些恶意软件经常伪装名为svchost.exe的进程名。该原有系统文件svchost.exe是位于c:\Windows\System32的文件夹中。任何名为”svchost.exe”位于其他文件夹的文件可视为恶意软件。通过确定进程的图像路径以及它调用的命令行,可以帮助识别伪装软件外,也可以帮助查找名为svchost.exe实际程序的文件(Windows允许显示多个相同名称的进程)。一些恶意软件注入.dll文件到正宗的 svchost进程中,如Win32/Conficker蠕虫。

Svchost.exe恶意软件通常会做些什么呢?

由于这种感染是属于范型本质,安装的方法可能会有很多变化。Svchost.exe感染通常通过复制他们可执行文件到 Windows或Windows系统文件夹来安装到系统上,然后再修改注册表在每次启动系统时运行这个文件。Svchost.exe往往会修改以下子项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

如果您的计算机感染了svchost.exe virus,这感染将可能与远程主机联系实现以下用途:

》报告新的感染

》接收配置或其他数据

》下载并运行任意文件(包括更新或额外的恶意软件)

》从远程攻击者接收zhiling

》上传从受感染的计算机获得的数据

我如何辨别svchost.exe是否是恶意软件?

由于svchost.exe在任务管理器中是个常见的进程,恶意程序有时会通过运行svchost.exe同样的进程名将自己掩盖。在其他情况下,恶意程序可以运行、注射它的服务到已经在运行的svchost.exe进程中。在这两种情况下,很难去检测和删除这些恶意程序。最容易的检测您的计算机是否被svchost.exe感染的方法就是在键盘上按CTRL + ALT +DEL打开Windows的任务管理器,右击您怀疑是恶意软件的svchost.exe,然后点击“打开文件位置”

如果是 Windows的svchost.exe,它应该位于C:\Windows\System32目录中。任何名为svchost.exe位于其他文件夹的都可被视为恶意软件。如果您不确定该svchost.exe是否有病毒,我们建议您将受影响的文件提交到https://www.virustotal.com/en/, 使用多个antivirus 引擎进行扫描。

Tags:

Write a comment

Name
Comment