Windows ha molti processi in esecuzione in background. Questa volta daremo un’occhiata a dllhost.exe per coprirne le funzioni e i rischi.
Un rapido esame di Task Manager su qualsiasi sistema Windows rivelerà un processo noto come dllhost.exe in esecuzione in background. Se l’hai trovato, probabilmente ti piacerebbe sapere cosa stanno facendo e la sua descrizione di “COM Surrogate” e se è un processo sicuro da eseguire sul tuo computer. La cosa buona da considerare è che dovrebbe essere lì. Questo è un processo creato da Microsoft ed è incluso in ogni versione del sistema operativo Windows.
C’è una piccola possibilità che dllhost.exe possa essere infettato da un virus. Tuttavia, se il tuo computer è aggiornato con tutte le ultime patch di sicurezza di Windows Update e hai installato un antivirus come Microsoft Security Essentials , è altamente improbabile che tu abbia problemi con l’infezione.
Cos’è COM+?
Per capire che cosa fa dllhost.exe, è necessario comprendere che cos’è il servizio COM+. COM+ è l’abbreviazione di C omponent O bject Model . Quando si richiama il processo/servizio in Process Explorer, non viene rivelato molto. La descrizione del processo recita:
Gestisce la configurazione e il monitoraggio dei componenti basati su Component Object Model (COM)+. Se il servizio viene interrotto, la maggior parte dei componenti basati su COM+ non funzioneranno correttamente. Se questo servizio è disabilitato, tutti i servizi che dipendono esplicitamente da esso non verranno avviati.
Per approfondire davvero in cosa consiste il processo, dovremo dare un’occhiata alla libreria di Microsoft Dev Center . E rivela che COM+ è utile principalmente per quanto segue:
- Distribuzione di applicazioni a livello aziendale per un’intera rete.
- Fornire componenti preesistenti per lo sviluppo di applicazioni perché COM+ è considerata un’architettura di programmazione orientata agli oggetti.
- L’esecuzione di un registro eventi che gestisce le richieste di sistema, migliora la sicurezza, attiva gli handle di processo e crea code di richieste di servizio per le applicazioni.
COM+ è costituito da componenti costitutivi che si autodefiniscono e funzionano bene con gli altri. L’utilità in questo deriva dalla progettazione di componenti condivisi e riutilizzati da più applicazioni. Questo design non solo riduce la richiesta di risorse di sistema, ma migliora anche la velocità di inizializzazione. I modelli a oggetti dei componenti non sono scritti in alcun linguaggio di programmazione specifico, tuttavia esistono classi separate per ciascuno a seconda del linguaggio di programmazione previsto. A livello aziendale, ciò offre il vantaggio della distribuzione di massa con uno strumento GUI creato da Microsoft chiamato DCOM .
Dllhost.exe è un host per file DLL ed eseguibili binari.
Una DLL (libreria di collegamento dinamico) è essenzialmente un blocco di codice di dimensioni non specifiche memorizzato in un singolo file. Questo codice può essere la composizione di un’applicazione, un servizio o semplicemente un componente aggiuntivo per un’interfaccia utente grafica. Dllhost.exe, simile a svchost.exe , è un servizio Windows richiesto per qualsiasi codice di programmazione orientato a COM+. Di seguito viene mostrato un esempio di ciò che dllhost.exe esegue utilizzando Process Monitor, che include i tipi di file .dll e .exe.
Rischi
Dllhost.exe è in genere sicuro purché il computer sia aggiornato su tutte le patch di sicurezza e sia installato un antivirus affidabile. Se lo vedi nei seguenti posti sei al sicuro:
- Il percorso della directory ufficiale per questo processo è C:\Windows\System32\dllhost.exe
- Dllhst3g è anche un processo Windows valido archiviato nella stessa cartella System32.
Se dllhost.exe viene visualizzato altrove, è probabile che sia un virus. Alcuni virus worm imitano il nome di dllhost e si archiviano nella cartella System32. Ecco alcuni esempi:
- Worm/Loveelet-Y si memorizza in /Windows/System32/ come dllhost.com
- Worm/Loveelet-DR si archivia in /Windows/System32/ come dllhost.dll
Utilizzo elevato della CPU
Un possibile difetto di sicurezza nella progettazione del sistema COM+ è che consente l’esecuzione di qualsiasi DLL archiviata nel sistema, presupponendo che il trigger che lo avvii abbia le autorizzazioni richieste. Ciò significa che quando si vede un utilizzo elevato della CPU per dllhost.exe, probabilmente non è il processo host a causare il problema, ma piuttosto una DLL caricata in esecuzione attraverso l’host. È possibile utilizzare un programma come Process Explorer per indagare ulteriormente.
Conclusioni
Dllhost.exe è un processo Windows sicuro creato da Microsoft. Viene utilizzato per avviare altre applicazioni e servizi. Dovrebbe essere lasciato in esecuzione poiché è fondamentale per diverse risorse di sistema.