En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.

Svchost.exe es para muchos el proceso más misterioso de Windows. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.

Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.

Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker.

Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI "PID eq IdDeProceso" (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer.

Esta herramienta está disponible para: Windows 8, 7, Vista, XP, 2000, 2003 y 2008 (32/64 Bit). Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema.

Más información y descarga de Svchost Process Analyzer:
http://www.neuber.com/free/svchost-analyzer/index.html

Descripción de Svchost.exe en Windows:
http://support.microsoft.com/kb/314056/es

Herramientas para la detección y desinfección del virus Conficker:
http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html
Como averiguar los servicios que se esconden bajo el proceso Svchost.exe. Como averiguar los servicios que se esconden bajo el proceso Svchost.exe. Reviewed by Álvaro Paz on lunes, junio 22, 2009 Rating: 5

10 comentarios:

Anónimo dijo...

Hola
El Svchost.exe siempre ha sido un proceso del no he encontrado mucha información, gracias a tu articulo tengo claro para que sirve y como detectar virus como el Conficker. Muchas gracias y sigue publicando.
Saludos

Anónimo dijo...

Yo creo que la forma mas fácil de identificarlo es con Proccess Explorer ver que sea el svchost.exe de System32. No hace falta mas.

El malware que usa ese nombre se encontrará en otra ruta por narices, ¿no?

Otra opción es que se halla inyectado en el svchost.exe real, pero ahí ya hay que aplicar otros programas para detectarlo.

Alvaro Paz dijo...

Hola
El virus Conficker no crea otro svchost.exe utiliza el del sistema para cargarse que es de lo que se habla en el post no se habla de un svchost.exe con otra ruta evidentemente sería fácil de detectar. Con Svchost Process Analyzer se puede saber que carga el svchost.exe del sistema.
Un saludo

Anónimo dijo...

Excelente la ayuda, pero igual como se puede identificar si hay algun proceso indebido corriendo?

Cuales son los normales?

A mi me salen:
AudioSrv, BITS, Browser, CryptSync, Dhcp, dmserver, EventSystem, hkmsvc, LanmanServer, lanmanworkstation, Netman, Nla, RasAuto, RasMan, Schedule, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, winmgmt, wuauserv

Giancarlo dijo...

Hola, mi nombre es Giancarlo Granda. Estaba revisando tu blog y me parece muy interesante. Me gustaría saber si estarías interesado en poner un enlace hacia mi página. A cambio podría ofrecerte un enlace en mi página:

http://www.TecnologiaPC.Net

Somos expertos en tecnologia informática: hardware, software, sistemas operativos, soporte técnico, redes, programación y mucho mas!

Si aceptas, me gustaría que te comuniques conmigo al correo: giagranda@TecnologiaPC.Net.
Quedo a la espera de tu respuesta.

Slds,

Giancarlo Granda

Alvaro Paz dijo...

Equiman
Los procesos normales que carga Svchost.exe dependen de la configuración del sistema, te recomiendo que busques la información sobre cada proceso usando este post:
Como obtener información de los procesos que corren en Windows.
http://vtroger.blogspot.com/2007/08/como-obtener-informacin-procesos-que.html

Un saludo

Leek dijo...

Me pregunto como habran programado los crackers el Conficker para aprovechar esta vulnerabilidad, es interesante.

El blog de Leek

.

Administrador de www.cincolinks.com dijo...

Enhorabuena por tu blog, si quieres puedes apuntarte al directorio web/blog www.cincolinks.com podrás promocionar tu web, con tu ficha y tus votaciones y valoraciones, con un método de intercambio de visitas llamado 5links! con el que tu blog será visitado tanto como visites a los demas y que harán que tu blog se de a conocer por toda la red. Pásate ;)

Creo que no hay muchos blogs de las características y temática del tuyo en este directorio, me gustaría mucho que participaras.


Saludos, espero verte por www.cincolinks.com.

pdd_20 dijo...

Interesante utilidad pero da fallos :S

Saludos.

Alvaro Paz dijo...

Hola pdd_20
Puede ser que de fallos, a mí personalmente no me ha dado ninguno pero no lo he utilizados en muchas maquinas diferentes para poder decir que no da fallos.
Un saludo.

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.