Caso você encontre algum serviço que é iniciado através do svchost.exe nos serviços (services.msi), é possível verificá-los pelo “Nome do serviço” (diferente do “Nome de exibição”).
A verificação do real arquivo carregado pelo svchost.exe é feita através de uma chave do registro, como mostra a linha abaixo.
[HKLMSYSTEMCurrentControlSetServices{nome_servico}Parameters]
“ServiceDLL”
{nome_servico} nome que aparece no Services.msi.
Veja na tela abaixo a verificação do arquivo que foi carregado pelo svchost.exe quando o serviço do Windows “Chama de Procedimento Remoto” for iniciado. Esse serviço é fundamental para o Windows e não deve ser removido. Alguns Cavalos de Tróia (Trojans) utilizam o svchost.exe da mesma forma, mas é necessária uma verificação de forma manual na chave para se saber quem ou qual é o verdadeiro culpado, uma vez que o svchost.exe é um sistema e não pode ser apagado.
No Windows XP é possível descobrir todos os serviços que o svchost.exe roda usando
o comando tasklist/svc.
Veja na imagem o tasklist em sendo executado. Lateralmente ao svchost.exe podemos ver todos os serviços que estão rodando no momento. Utilize o método descrito acima para saber quais os arquivos referentes a cada um dos serviços.
Cópias falsas do svchost.exe
Existem cópias falsas do svchost.exe, mas a verdadeira está localizada na pasta System32.
É possível ter outras cópias legítimas no sistema. Ao instalar o Service Pack, o Windows faz backup do svchost.exe, e assim você tem cópia do svchost.exe nas seguintes pastas:
C:WINDOWSsystem32svchost.exe
Cópia do svchost.exe real utilizada pelo sistema
C:WINDOWS$NtServicePackUninstall$svchost.exe
Backup do Service Pack
C:WINDOWSServicePackFilesi386svchost.exe
Cópia temporária da instalação do Service Pack
C:WINNTsystem32dllcachesvchost.exe
Cópia de segurança do svchost caso algo acontença com o verdadeiro
Todos os svchost.exe listado acima são legítimos. Os falsos ficam geralmente na pasta Windows ou na pasta System, que é diferente de System32.
Nenhum comentário:
Postar um comentário