Introducción
Supongo que mas de uno se preguntó de donde salió el archivo svchost.exe y porque se está ejecutando tantas veces y consumiendo tantos recursos.
Bueno, para que tengan una idea clara, vamos a decir que básicamente es el encargado en Windows XP de ejecutar los servicios que corren desde una DLL (dynamic-link libraries).
Mas Información
El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%System32.
Cuando se inicia Windows, Svchost.exe chequea el registro para poder armar la lista de servicios que necesita cargar.
Cada instancia de Svchost.exe puede ejecutar uno o mas servicios, todo depende de la manera en que se inicie.
Los grupos de servicios se encuentran en la siguiente rama del registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost
Cada valor dentro de esta rama, representa un grupo y será visualizado como una instancia de Svchost, cuando veamos la lista de procesos.
Mas de cerca
Para poder ver la lista de servicios que se están ejecutando a través de Svchost, nos dirigimos a la consola ( Inicio / Ejecutar / cmd
) y escribimos: C:>tasklist /svc
El comando tasklist lo que hace es mostrar la lista de procesos activos, el parametro /SVC nos muestra la lista de servicios activos en cada proceso.
Los svchost van aumentando cada vez que se le ponen mas utilidades y servicios a windows.
por ejemplo, si instalas una camara web que tenga un microfono integrado se agregara un poco mas de memoria al svchost que se ocupa de recibir sonidos y reproducirlos. O simplemente se creará otro svchost para tener un control mejor y una depuración más facil. (lo que me pasó a mi, instalé mi camara web y apareció de repente otro svchost )
Para que conozcan mejor sus svchost estan identificados en el registro y si van a HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCu rrentVersionSvchost los verán
Cada svchost contiene servicios que los pueden ver de aqui:
HKEY_LOCAL_MACHINESystemCurrentControlSetServic es Nombre de los Servicios
son un monton de carpetas con servicios y todos los svchost lo aplican
Por esta razon aparece varias veces en la lista de procesos.
si quieres ver la lista de servicios que se ejecutan en svchost y los otros procesos:
vas a msdos y pones Tasklist /SVC
aparecerá como un listado de los procesos activos y los servicios del sistema ( si sale N/D = no disponible).
y si queres saber que esta haciendo tu svchost vas a msdos y escribes:
tasklist /svc /fi "imagename eq svchost.exe"
ahi se mostrara todos los servicios que tienen los svchost
SVCHOST, los puertos que abre y su configuracion con Firewalls
Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo éste artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.
"SVCHOST.exe no solo es el responsable de cargar varios servicios,
tambien abre numerosos puertos de conexion a nuestro sistema."
En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos:
Con protocolo TCP: 135 y 2869
Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031
Cuando estes en busca de procesos maliciosos como Adware, software espía, etc, puedes confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "call—RPC—attacks" en contra del puerto 135) no se pueden descartar.
En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES].
La mayoría de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas:
Si el protocolo es TCP
Si la conexion es de tipo ENTRADA
BLOQUEAR
Si el protocolo es UDP
Si la conexion es de tipo ENTRADA
BLOQUEAR
Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de salida no son suficientes, si este es su caso, (si experimenta momentos en que el Firewall le pregunta sobre que una aplicacion solicita conexion de salida usando protocolo TCP), convendrá definir esta regla:
Si el protocolo es TCP
Si la conexion es de tipo SALIDA
BLOQUEAR
Ataques a tu sistema mediante RPC
El Proceso Archivo SVCHOST consume 100% CPU
Si experimentas problemas de lentitud, y notas que el proceso SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que estes siendo objeto de ataques mediante la vulnerabilidad conocida del RPC.
Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de bichos que aprovechan este agujero para insertarse en tu sistema y empezar a hacer todo tipo de travesuras, bicho que normalmente se conoce como msblaster o alguna mutacion.
Si crees estar siendo víctima del MS Blaster o alguna de sus miles de mutaciones:
Inmediatamente ve descargando e instalando los dos parches para el Agujero del LSASS y el RPC/DCOM
Cuando los instales, reinicias, te conectas a Internet y compruebas si el uso de CPU del archivo SVCHOST.EXE es ahora normal.
IMPORTANTE:
Si lo que tienes es el gusano, con el antivirus NO BASTA, tienes que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas) porque existen infinidad de bichos que aprovechan ese agujero pero que utilizan otro nombre, por lo que si el Antivirus no es tan potente, desconocerá las nuevas mutaciones.
Para tener en cuenta
Al margen de que varios virus y/o troyanos infectan este archivo haciéndonos creer que es uno de ellos, debemos tener presente que otros, si llegar a infectarlo intentan engañarnos utilizando un nombre parecido.
scvhost.exe Lo instala el virus W32/Agobot-S. Se trata de un gusano y troyano backdoor de IRC que se copia asi mismo aprovechando los recursos compartidos con passwords débiles. E intenta propagarse utilizando las vulnerabilidades del RPC Locator y DCOM RPC.
svchosts.exe Lo instala el virus Sdbot-N. Es un troyano backdoor que permite a un usuario remoto controlar nuestra máquina a través del IRC. Se ejecuta en background, y trata de conectarse a un canal específico de un servidor de IRC y luego queda a la escucha de ciertos comandos para llevar a cabo sus correspondientes acciones.
svshost.exe Lo instala el virus Worm.P2P.Spybot.gen
gracias por pasar, espero que les sirva