Svchost.exe

เป็นWormชนิดหนึ่ง ที่สร้างชื่อเลียนแบบไฟล์ Svchost.exe ของระบบปฏิบัติการWindow ซึ่งไฟล์ svchost.exe เป็นไฟล์ generic host processใช้รัน กับ DLL ไฟล์เพื่อสร้าง Service ขึ้นมาเช่น EventSystem,Netman,NtmsSvc,RasMan โดยที่สามารถรันได้หลายๆ instance พร้อมกัน
อีกชื่อหนึ่งที่ใช้คือW32.CodeBlue ซึ่งส่งผลกระทบกับระบบปฎิบัติการ Windows ที่ใช้งานโปรแกรมประยุกต์ IIS

ขั้นตอนการทำงานของ W32.CodeBlue
1.เรียกใช้ไฟล์ Httpext.dll ในเครื่องผู้ถูกบุกรุก ซึ่งอยู่ในโฟลเดอร์ C:Inetpubwwwrootscripts
2. ตัวหนอนจะเรียกใช้งานผ่านคำสั่ง HTTP GET
3. หลังจากนั้นตัวหนอนจะสร้างไฟล์ C:Svchost.exe และเรียกใช้งาน
4. C:Svchost.exe จะทำการสร้างและแก้ไขส่วนต่างๆ ของระบบ

W32.CodeBlueจะสร้างและแก้ไข
1.ทำการสร้างไฟล์ C:Svchost.exe และแก้ไขregistryดังนี้
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
ซึ่งจะอนุญาตให้เรียกใช้งานตัวหนอนหลังจาก restart เครื่องทุกครั้ง
2. สร้างไฟล์ชั่วคราวที่ C:d.vbs ซึ่งไฟล์นี้เป็นไฟล์ที่ถูกเรียกจากโปรแกรม C:WINNTsystem32Wscript.exe
3.ไฟล์ d.vbs จะทำการลบไฟล์.ida, .idq, และ .printer IIS service เพื่อไม่ให้มีการติดเชื้อจาก CodeRed
4.ในช่วงเวลา 10 นาฬิกาและ 11 นาฬิกา ตัวหนอนจะทำการส่ง mail ที่มีข้อมูลขนาดใหญ่ไปยังเว็บไซต์บริษัทในเมืองจีน


วิธีตรวจสอบ

ในDrive C หรือ D จะมีFolder ที่ชื่อ d และใน Folder ที่ชื่อ d นั้นจะมีFolder ต่างๆเช่น c , cpu ,n ,w และอื่นๆ
- ไฟล์ Svchost.exe ของระบบจะอยู่ใน C:WINDOWSsystem32 เท่านั้น ไฟล์ที่เป็นไวรัส ส่วนใหญจะอยู่ใน C:Svchost.exe หรือC:WINDOWSSvchost.exe

วิธีแก้ไข

1.ไปที่ Start Menu เลือก Run พิมพ์ regedit คลิก OK ไปที่
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
2. ฝั่งขวาของข้อความจะแสดงค่า C:svchost.exe ให้
ลบข้อความทางฝั่งขวามือ และ ออกจากโปรแกรม
3.ค้นหาและลบไฟล์ C:svchost.exe และ C:d.vbs

หากต้องการทราบการอัพเดทของ วิธีแก้ไวรัส สปายแวร์ วิธีแก้ไวรัส Svchost.exe และเรื่องที่เกี่ยวข้อง แนะนำให้กด ที่ facebook ด้านล่างนี้เลยค่ะ เผื่อที่จะได้อัพเดทก่อนใคร

อัพเดทเมื่อ วันจันทร์ที่ 20 พฤษภาคม พ.ศ. 2556 ในหมวดหมู่ของ วิธีแก้ไวรัส สปายแวร์ เรื่อง วิธีแก้ไวรัส สปายแวร์ วิธีแก้ไวรัส Svchost.exe