揪出Svchost.exe服务程序病毒木马

　

前言：

　　进程文件： svchost or svchost.exe 【不区分大小写】

　　进程名称： Generic Service Host Process for Win32 Services

　　进程类别：系统进程

　　位置：C:\windows\system32\svchost.exe

　　中文参考：svchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程。VISTA系统和WIN7系统svchost服务进程会更多。所以看到多个svchost服务存在并不代表就一定存在病毒木马。

　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的。新增svchost服务、替换svchost服务是当前病毒木马最常用的手法。所以看到svchost少也并不代表就一定正常。

　　windows系统存在多个svchost进程，在受感染的机器中到底哪个是病毒进程呢？下面的分析帮您来解决这个问题。

------------------------- 传说中的万能分割线 -------------------------

使用工具：Sreng , TinyRAT ,冰刃

下载地址：http://www.wishdown.com/Software/Catalog77/6484.html

病毒文件：

这里使用了TinyRAT 远程控制来替换掉BITS服务。替换动态链接库DLL文件为SysAdsnwt.dll ,文件路径C:\windows\system32\SysAdsnwt.dll

BITS服务名称： BITS

BITS服务显示名称：Background Intelligent Transfer Service

BITS服务描述：在后台传输客户端和服务器之间的数据。如果禁用了 BITS，一些功能如 Windows Update，就无法正常运行。

　　　　

------------------------- 传说中的万能分割线 -------------------------

服务替换操作： 运行TinyRAT ，进行服务替换操作。如下图所示，BITS启动类型已从手动被修改成了自动，并且由停止服务变成了运行。进程列表svchost.exe进程也由5个增加到了6个。你能分别出那个是异常的么？

　　　　

　　　　

------------------------- 传说中的万能分割线 -------------------------

服务分析过程：

打开冰刃，点击【进程】，记录每一个svchost.exe对应的进程PID号备用。这里分别是844，924，980，1036，1112，1256 以作备用。

　　　　

点击【服务】，记录每一个进程ID对应的服务名和服务模块路径。





------------------------- 传说中的万能分割线 -------------------------

搜索引擎的利用：

通过上面记录的服务名和服务模块路径，在搜索引擎上找相关的信息，如果可以找到相关的正确信息，那PID所对应的svchost.exe服务就是正常的。如果未找到相关信息，或是病毒木马相关信息，记录下服务名和服务模块路径做清理时备用。

拿BITS服务和模块路径C:\windows\system32\SysAdsnwt.dll来说，打开百度，搜索：BITS SysAdsnwt.dll 得到如下信息，可以确定是病毒利用了。还可以搜索到BITS非系统必要服务进程。



------------------------- 传说中的万能分割线 -------------------------

服务清理过程：

打开sreng 点【启动项目】－点【服务】－点【win32应用服务程序】





根据上面记录的C:\windows\system32\SysAdsnwt.dll对应的服务是异常的。从【服务动态链接库】列表中寻找到对应的记录，找到后选中记录，选中右下角的【删除服务】，点【设置】按钮



在弹出的确认窗口点击【否】按钮确认进行删除，然后重启机子。手工删除C:\windows\system32\SysAdsnwt.dll即可。





------------------------- 传说中的万能分割线 -------------------------

后记：由于手工操作需要对系统文件了解有一定的要求，因此该文所涉及内容，对系统文件一无了解的朋友慎用。粗略的介绍了win32服务应用程序的识别、清理过程，由于书写匆忙，不免存在不当的地方，如您发现还请批评指正。