svchost 문제와 바이러스 감염 해결책

먼저 svchost.exe 가 문제가 생겼다고 해서 모두 바이러스나 악성코드에 걸린 것은

아니라 생각하기에 먼저 svchost.exe 파일에 대한 이해가 필요할 것이라 생각됩니다.

 

1) svchost 프로세스 정보

 

- 시스템 시작 시 레지스트리의 서비스 부분을 검사, 로드해야 할 서비스의 목록 작성

 

- 동적 연결 라이브러리(DLL)을 사용하는 서비스에 대한 일반적인 호스트 프로세스입니다.

 

- 확인:[설정]-[제어판]-[관리도구]-[서비스]  항목에서 "자동시작" 또는 "시작됨" 항목들

 

- 부팅시 여러 개의 Svchost.exe 동시에 실행될 수 있다. (Svchost.exe 의 인스턴스들)

   확인 : 시작   실행   taskmgr 로 확인 가능 (아래 그림 참고)

 

 

- 등록된 항목의 레지스트리 위치

    HKEY_LOCAL_MACHINE\f1 WindowsNT\f1 CurrentVersion\Svchost

 

2) 정상적인 위치 : %SystemRoot%(윈9x 에서는 이 파일을 사용하지 않음)

 

3) 현재 svchost.exe를 호출하여 사용하는 프로그램들 확인하기

 ① [시작]   [실행]   command 엔터 후, Tasklist /SVC

 

   (아래 그림1은 Tasklist /SVC 의 결과를 C\ 드라이브에 svcInfo.txt 파일로 저장하는 모습)

 

 

② 아래 그림2는 현재 svchost 를 사용하고 있는 서비스 목록들

     (①의 결과 파일 : svcInfo.txt)

 

 

참고 : svchost.exe 파일이 어떨 때 공격을 받을 수 있는가?

 

 윈도우 버퍼 오버런과 관련된 LSASS 취약점에 대한 패치가 이루어지지지 않았을 경우

 

           (패치 : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)

 

 

 

4) 바이러스 감염 여부 확인 사항

 

- svchost.exe 의 위치가 정상인가? 아닌가?

- svchost.exe 의 크기는 얼마인가?

- 항상 보안패치에 주의를 기울이고 있으며 해당 보안 패치가 어떤 취약점을 해결하는지 알고 있는가?

- 어떤 프로그램이나 프로세스가 svchost를 호출하여 사용하고 있는가?

 

위 네 가지 조건 중에 하나라도 만족이 된다면 바이러스나 악성코드 감염 여부를 의심해도 좋다.

 

그리고 종종 윈도우 업데이트가 부팅직후 svchost를 100% 잡아 먹는 경우가 있다.

이경우 윈도우 업데이트를 사용하지 않음으로 제어판에서 설정하면 없어 진다.