Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de 
Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.
Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker.
Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI "PID eq IdDeProceso" (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer.
Esta herramienta está disponible para: Windows Vista, XP, 2000 y 2003. Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema.
Más información y descarga de Svchost Process Analyzer:
http://www.neuber.com/free/svchost-analyzer/index.html
Descripción de Svchost.exe en Windows:
http://support.microsoft.com/kb/314056/es
Herramientas para la detección y desinfección del virus Conficker:
http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html
Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.
