Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.

Svchost.exe es para muchos el proceso más misterioso de Windows. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%System32.

Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.

Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost

Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker.

Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI «PID eq IdDeProceso» (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer.

Esta herramienta está disponible para: Windows 8, 7, Vista, XP, 2000, 2003 y 2008 (32/64 Bit). Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema.

Más información y descarga de Svchost Process Analyzer:
http://www.neuber.com/free/svchost-analyzer/index.html

Descripción de Svchost.exe en Windows:
http://support.microsoft.com/kb/314056/es

Herramientas para la detección y desinfección del virus Conficker:
http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html

10 comentarios en “Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.

  • el junio 22, 2009 a las 4:54 pm
    Permalink

    Hola
    El Svchost.exe siempre ha sido un proceso del no he encontrado mucha información, gracias a tu articulo tengo claro para que sirve y como detectar virus como el Conficker. Muchas gracias y sigue publicando.
    Saludos

    Respuesta
  • el junio 22, 2009 a las 5:53 pm
    Permalink

    Yo creo que la forma mas fácil de identificarlo es con Proccess Explorer ver que sea el svchost.exe de System32. No hace falta mas.

    El malware que usa ese nombre se encontrará en otra ruta por narices, ¿no?

    Otra opción es que se halla inyectado en el svchost.exe real, pero ahí ya hay que aplicar otros programas para detectarlo.

    Respuesta
  • el junio 22, 2009 a las 7:21 pm
    Permalink

    Hola
    El virus Conficker no crea otro svchost.exe utiliza el del sistema para cargarse que es de lo que se habla en el post no se habla de un svchost.exe con otra ruta evidentemente sería fácil de detectar. Con Svchost Process Analyzer se puede saber que carga el svchost.exe del sistema.
    Un saludo

    Respuesta
  • el junio 25, 2009 a las 12:12 am
    Permalink

    Excelente la ayuda, pero igual como se puede identificar si hay algun proceso indebido corriendo?

    Cuales son los normales?

    A mi me salen:
    AudioSrv, BITS, Browser, CryptSync, Dhcp, dmserver, EventSystem, hkmsvc, LanmanServer, lanmanworkstation, Netman, Nla, RasAuto, RasMan, Schedule, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, winmgmt, wuauserv

    Respuesta
  • el junio 25, 2009 a las 5:09 am
    Permalink

    Hola, mi nombre es Giancarlo Granda. Estaba revisando tu blog y me parece muy interesante. Me gustaría saber si estarías interesado en poner un enlace hacia mi página. A cambio podría ofrecerte un enlace en mi página:

    http://www.TecnologiaPC.Net

    Somos expertos en tecnologia informática: hardware, software, sistemas operativos, soporte técnico, redes, programación y mucho mas!

    Si aceptas, me gustaría que te comuniques conmigo al correo: giagranda@TecnologiaPC.Net.
    Quedo a la espera de tu respuesta.

    Slds,

    Giancarlo Granda

    Respuesta
  • el junio 28, 2009 a las 9:50 pm
    Permalink

    Me pregunto como habran programado los crackers el Conficker para aprovechar esta vulnerabilidad, es interesante.

    El blog de Leek

    .

    Respuesta
  • el junio 30, 2009 a las 7:40 pm
    Permalink

    Enhorabuena por tu blog, si quieres puedes apuntarte al directorio web/blog http://www.cincolinks.com podrás promocionar tu web, con tu ficha y tus votaciones y valoraciones, con un método de intercambio de visitas llamado 5links! con el que tu blog será visitado tanto como visites a los demas y que harán que tu blog se de a conocer por toda la red. Pásate 😉

    Creo que no hay muchos blogs de las características y temática del tuyo en este directorio, me gustaría mucho que participaras.

    Saludos, espero verte por http://www.cincolinks.com.

    Respuesta
  • el julio 3, 2009 a las 11:28 am
    Permalink

    Hola pdd_20
    Puede ser que de fallos, a mí personalmente no me ha dado ninguno pero no lo he utilizados en muchas maquinas diferentes para poder decir que no da fallos.
    Un saludo.

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: