El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
Los grupos Svchost.exe están identificados en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Tasklist muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso, ejecutar cmd.exe y luego:
> Tasklist /SVC
Para ver sólo los procesos SVCHOST.exe y sus servicios asociados:
> tasklist /svc /fi “imagename eq svchost.exe”
SVCHOST no hay que tocarlo, este programa es importante para estabilidad y seguridad del sistema windows y no debe ser cerrado.
SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.
SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.
El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos, el uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento a menos que en el sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento, en caso contrario se debe sospechar de un ataque que aprovecha la vulnerabilidad RPC.
Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, este aparece cargando los servicios DcomLaunch, TermService, RpcSs, AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter.
SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.
Cuando se esten buscando procesos maliciosos como Adware, software espía, etc, puedes confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC “call—RPC—attacks” en contra del puerto 135) no se pueden descartar.
En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES].
La mayoría de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas:
Si el protocolo es TCP
Si la conexion es de tipo ENTRADA
BLOQUEAR
Si el protocolo es UDP
Si la conexion es de tipo ENTRADA
BLOQUEAR
Si el protocolo es TCP
Si la conexion es de tipo SALIDA
BLOQUEAR
Ataques a tu sistema mediante RPC
El Proceso ó Archivo SVCHOST consume 100% CPU
Si experimentas problemas de lentitud, y notas que el proceso SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que estes siendo objeto de ataques mediante la vulnerabilidad conocida del RPC.
Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de bichos que aprovechan este agujero para insertarse en tu sistema y empezar a hacer todo tipo de travesuras, bicho que normalmente se conoce como msblaster o alguna mutacion.
Si crees estar siendo víctima del MS Blaster o alguna de sus miles de mutaciones:
Inmediatamente ve descargando e instalando los dos parches para el Agujero del LSASS y el RPC/DCOM
Cuando los instales, reinicias, te conectas a Internet y compruebas si el uso de CPU del archivo SVCHOST.EXE es ahora normal. Si no lo es, y notas que continua igual que antes, entonces publica el registro detallado de las aplicaciones de tu sistema usando la aplicacion, HIJACKTHIS.
IMPORTANTE:
Si lo que tienes es el gusano, con el antivirus NO BASTA, tienes que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas) porque existen infinidad de bichos que aprovechan ese agujero pero que utilizan otro nombre, por lo que si el Antivirus no es tan potente, desconocerá las nuevas mutaciones.
El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc. Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP. Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal. SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos.
El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es así, se sospecha de que esta siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC.
