“svchost.exe” คืออะไร ไช่ Virus หรือเปล่ามาดูกัน

posted on 21 May 2009 13:04 by laptopcomputer in Tips-Tricks

สวัสดีครับเพื่อน ๆ วันนี้ผมมีเรื่อง svchost.exe มาฝากครับ หลาย ๆคนคงรู้ดีว่ามันเป็นไฟล์อะไรบางคนก็ว่าเป็นไวรัส บางคนก็ว่าไม่ไช่ไวรัส พอดีว่าเครื่องของเพื่อนผมคนหนึ่งมันฟ้องว่า Error ไฟล์ตัวนี้ผมก็เลยพยายามค้นหาข้อมูลว่ามันเป็นอะไรกันแน่ แล้วก็ได้รู้แล้วครับว่ามันเป็นไฟล์อะไร (รายละเอียดด้านล่างเลยนะครับ) และปัจจุบันมีไวรัสหลายตัวที่พยายามจะใช้ไฟล์ตัวนี้เป็นกำบังตัวเองเพื่อเข้ามาเล่นงานเครื่องคอมพิวเตอร์เราครับ ถ้าสังเกตดี ๆๆ ชื่อไฟล์ที่จำเป็นต้องใช้งานมันจะเป็นตัวอักษรพิมพ์เล็กทั้งหมดครับ ถ้าเป็นอย่างอื่นน่าจะเป็นไวรัสครับถ้าเจอก็ลบทิ้งไปเลยครับ หวังว่าจะเป็นประโยชน์กับเพื่อน ๆ นะครับ

ผมลืมบอกไปครับว่าไฟล์นี้ส่วนมากจะเกิดกับผู้ใช้ Windows XP SP2 ครับ เกื่อบทุกเครื่องครับที่เจอปัญญหานี้และจะมีตัวที่ Error อีกตัวคือ Win32 Service ครับตอนนี้ผมกำลังหาข้อมูลอยู่ (ตอนนี้มีแต่ภาษาอังกฤษ ให้ผมแปลก่อนนะครับจะนำมาลงให้ หรือถ้าใครมีก็แนะนำหน่อยนะครับ)

“svchost.exe” คืออะไร

“svchost.exe” หรือชื่อเต็มๆของมันคือ “Generic Host Process for Win32 Services” ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ re-start ได้ แต่ถ้าเราเผลอไป end proces มันแล้ววหล่ะก็ จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network แล้วหน้าที่ของมันหล่ะ เอาไว้ทำอะไร???

หน้าที่ของ svchost.exe

เจ้า “svchost.exe” เมื่อมันถูกสั่งรันหรือให้ทำงาน มันจะทำหน้าที่ ก็คือ

จัดการหรือโหลดพวกไฟล์ 32bit-DLLs(dynamic-link libraries) ที่จำเป็นสำหรับ Windows และ Services อื่นๆ ซึ่งมีอยู่หลาย instance หลายกลุ่ม ตามแต่ command line parameter นั้นๆ อันได้แก่ background process ทั้งหลายที่ถูกรันอยู่หลังบ้าน เมื่อ Windows ทำงานแล้วนั่นเอง ซึ่งได้แก่

กลุ่มที่ 1 DCOM Server Process Launcher และ Terminal Services
กลุ่มที่ 2 Remote Procedure Call(RPC)
กลุ่มที่ 3 Windows Audio, Background Intelligent Transfer Service, Computer Browser, Cryptographic Services, DHCP Client, Logical Disk Manager, Error Reporting Service, COM+ Event System, Server, Workstation, Network Connections, network Location Awareness, Remote Access Connection Manager, Telephony, Themes, Windows Time ฯลฯ
กลุ่มที่ 4 DNS Client
กลุ่มที่ 5 TCP/IP NetBIOS Helper, Remote Registry, SSDP Discovery Service และ WebClient
โดย DLLs แต่ละตัวที่ใช้เรียกนั้นจะอยู่ที่ “%windir%System32″ หรือทั่วๆไป ก็คือ “C:WindowsSystem32″ ทั้งนี้ถ้าต้องการดูรายละเอียดของชื่อ process และ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งาน ดังที่กล่าวไปแล้วนี้ สามารถใช้โปรแกรม Process Explorer เรียกและตรวจสอบดูได้ครับ

ตำแหน่งที่อยู่ของ svchost.exe

โดยทั่วไปแล้ว เจ้า “svchost.exe” จะอยู่ที่ “%windir%System32″ หรือทั่วๆไป ก็คือ “C:WindowsSystem32″ เช่นเดียวกับไฟล์ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งานนั่นแหล่ะครับ ถ้าอยู่ในตำแหน่งที่อยู่ที่นอกเหนือจากนี้ ให้สันนิฐานไว้เลยว่ามันคือ ไวรัส, สปายแวร์, โทรจัน หรือเวิร์มนั่นเองครับ ซึ่งสามารถใช้โปรแกรม Security Task Manager (ฟรี) ตรวจสอบได้ หรือจะใช้ช้โปรแกรม Process Explorer เรียกและตรวจสอบก็ได้เช่นเดียวกัน ซึ่งจะทำให้เรารู้ที่มาของไฟล์และ Process ที่รันอยู่ ทำให้เราสามารถกำจัดต้นตอมันได้นั่นเองครับ

ซึ่งไวรัสที่มีชื่อคล้ายๆกับ เจ้า “svchost.exe” ขอยกตัวอย่าง เช่น

Symantec Security Response - W32.Welchia.Worm
Symantec Security Response - W32.Assarm@mm
McAfee - W32/Jeefo
หรือ ไฟล์เหล่านี้ ที่พยามยามสร้างให้เหมือนเจ้า “svchost.exe” ได้แก่

1. SCVHOST.exe คือ Gaobot viruses
2. Svch0st.exe คือ Backdoor.Graybird viruses
3. Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
4. Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the
5. W32.Paylap.@mm
6. Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm