csrss.exe anomalias, isso é um rootkit?

Navegue suas respostas
7

Estou vendo uma estranha anomalia em alguns sistemas que eu suporte.

O GMER sinaliza o encadeamento cdd.dll no csrss.exe e, quando executo o Process Explorer com direitos de administrador elevados, estou:

  1. não é possível visualizar nenhuma DLL carregada no processo csrss.exe
  2. não é possível visualizar os endereços de início de encadeamento reais (em vez de winsrv.DLL e CSRSRV.dll, vejo 0x0 ou! RtlUserThreadStart
  3. não é possível visualizar a pilha de um segmento csrss.exe
  4. incapaz de suspender ou matar qualquer thread no csrss.exe
  5. Strings in memory show "Processo de abertura de erro"

Deacordocoma6ªEdiçãodoWindowsInternals,issoéoqueseverianoProcessExploreraotentarvisualizarosthreadsdo"processo protegido" ...

...Process Explorer is unable to show the Win32 thread start address and instead displays the standard thread start wrapper inside Ntdll.dll. If you try clicking the Stack button, you'll get an error, because Process Explorer needs to read the virtual memory inside the protected process, which it can't do.

No entanto, o csrss.exe NÃO é um processo protegido. Além disso, mesmo se fosse, normalmente ainda é possível suspender "processos protegidos", o que não é possível neste caso.

Para referência, isso é o que normalmente parece no Process Explorer ... tirado de um sistema recém-instalado.

Nenhumaoutraferramentaqueeuexecuteidetectoualgomalicioso.Noentanto,oProcessHackerécapazdeacessarosthreadseelesseparecemcomoqueeuesperariaver...

2 coisas que eu sei, eu acho:

  1. Esse é um comportamento anormal (a maioria dos outros sistemas que eu vejo dão acesso total ao Admin Elevated aos threads, strings, etc. do csrss.exe)
  2. Isso parece consistente com o comportamento de ocultar do tipo rootkit. De acordo com esta citação do livro "Malware Analyst's Cookbook":

If a rootkit finds a reliable way to hide or prevent access to csrss.exe without causing system instability, then that could cause an issue. In fact, the author of CsrWalker found that some hackers tried to prevent CsrWalker from working by hooking ZwOpenProcess and preventing the detection tool from reading the memory of csrss.exe.

Alguém pode explicar por que um administrador executando PE com direitos elevados veria essas anomalias, além de um rootkit desconhecido?

    
por Craig Cummings 02.02.2015 / 18:34

2 respostas

1

O CSRSS é um serviço padrão da Microsoft: link

É basicamente uma função intermediária entre o espaço do usuário e o kernelspace.

Tendo autoridade no nível do kernel, você não pode acessar seu mapa de memória a partir de um programa normal de espaço do usuário. Esse é um mecanismo de segurança para impedir que programas mal-intencionados usem o mapa de memória de programas com acesso ao kernelspace, como o csrss, como um meio de varrer a memória do kernel, procurando maneiras de obter escalação de autoridade.

Existe um boato generalizado de que é um vírus ou cavalo de Tróia. Esta fraude é utilizada por muitos sites inescrupulosos que tentam fazer com que você baixe Trojans, Spyware ou Adware na tentativa de removê-lo. NUNCA baixe scanners de sistema, ou quaisquer arquivos executáveis para esse assunto, de um site não confiável.

    
por 24.10.2015 / 14:57
0

Para sua informação (como mencionado aqui ):

csrss.exe is a process which is registered as a Trojan. This Trojan allows attackers to access your computer from remote locations, steal passwords, Internet banking and personal data. This process is a security risk and should be removed from your system. We strongly recommend that you run a FREE registry scan to identify csrss.exe related errors.

    
por 06.04.2015 / 16:42

Tags

A versão PHP para superusuário é fcgi em vez de cli Auto-conecte fones de ouvido Bluetooth no Windows 7 de 64 bits