鳩丸ぐろっさり (用語集)

bakera.jp > 鳩丸ぐろっさり (用語集) > svchost

用語「svchost」について

svchost (えすぶいしーほすと)

svchost.exe は Windows のシステムファイルのひとつで、システムディレクトリ (標準では c:\windows\system32 や c:\winnt\system32 など) に存在しています。

ファイルのプロパティを見ると "Generic Host Process for Win32 Services" などと書いてありますが、そのまんまの機能を持っています。詳しくは、Microsoft による「Svchost.exe の説明 (support.microsoft.com)」をご覧ください。Windows 環境でプロセスを確認すると、ほぼ確実に svchost.exe が動作しています。これは異常でも何でもありません。

……しかし逆に、このファイルがほぼ確実にプロセスにいるということから、「怪しいものをこの名前で動作させれば疑われにくい」という発想が出てきます。そんなわけで、ワームやウィルスの類が svchost.exe という名前のファイルを使用する事が往々にしてあります。たとえば、Welchia というワームは、システムディレクトリの下の wins ディレクトリに svchost.exe という名前のファイルを作成します。

また、この svchost.exe は RPC (リモート プロシージャ コール) のホストでもあります。そのため、RPC の脆弱性を利用したワームの攻撃によって RPC サービスが異常終了すると、「svchost.exe のエラー」という形で落ちてしまいます。Windows を使っていて、何もしないのにしょっちゅう「svchost が云々……」と言われて死ぬ場合、RPC の脆弱性を攻撃するワームの活動を疑ってください。たとえば、有名な "Blaster" ワームに感染すると、そのような症状が出ることがあります。

「svchost」に関連する Web サイト

最近の日記

関わった本など