Все копии
svchost.exe запускаются системным процессом services.exe. Вызовы
svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как
%SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе.
Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог. (например, Net-
Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d,
Trojan-Clicker.Win32.Delf.cn
Возьмём например
Net-Worm.Win32.Welchia.a
Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами
dllhost.exe и
svchost.exe.
Содержит текстовые строки:
I love my wife & baby :-)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)
~~ sorry zhongli~~~
Романтик не правда ли?
При запуске червь копирует себя с именем
dllhost.exe в каталог %System%\wins, после чего создает сервис с именем
WINS Client. Туда же червь копирует файл
tftpd.exe из каталога %System%\dllcache, с именем
svchost.exe и создает сервис с именем
Network Connections Sharing.
В результате этих действий червь будет получать управление и исполняться при каждом запуске
Windows.
Червь проверяет системный реестр
Windows на наличие информации об установленных патчах и сервисных паках для
Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер.
Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно.
Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.
Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по
135 порту (аналогично Lovesan) или на
80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины.
Далее проверяет наличие на удаленной машине файла
tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла
svchost.exe) в каталог %System%\wins.
Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу.
Но переписать исходник под свои нужды у кого то труда не составит.
Где был 2004 год, то там вполне может быть 2009 и т.д.
Также можно рассмотреть такой вирус как
Trojan-Clicker.Win32.Delf.cn
Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя:
http://24***search.com/***irect1.php
Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ.
После запуска троянец копирует себя в следующую папку с именем
svchost.exe:
C:\DriverLoad\svchost.exe
Затем регистрирует себя в ключе автозапуска системного реестра ..
Про остальные вирусы можно посмотреть на сайте касперского