Господа, как говорится много флуда из ничего. Поскольку все темы в инфобезопасности по поводу svchost закрыли, пишу здесь:
Да, svchost - сервисная служба винды, НО аналогичный фаил с названием svchost.exe генерируется червем W32/Nachi.worm, точнее его модификацией, известной под названием W32/Welchia. Если те, у кого возникают проблемы с svchost (первый признак - несколько загрузок svchost.exe в стартапе) не поленятся, и сделают обычный поиск файлов с именем svchost на компе, то обнаружат у себя на компе еще один svchost с другим размером. Кстати говоря W32/Welchia действительно блокирует lovesan.
Цитата:
В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.
Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).
Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы.
Червь открывает порт 707 для возможных атак извне.
(иточник Overclockers.ru)
|
Фикс червя:
http://www.symantec.com/avcenter/FixWelch.exe