csrss.exe-Anomalien, ist das ein Rootkit?


7

Ich sehe eine seltsame Anomalie in einigen Systemen, die ich unterstütze.

GMER markiert den Thread cdd.dll in csrss.exe. Wenn ich Process Explorer mit erhöhten Administratorrechten ausführe, bin ich:

  1. In beiden csrss.exe-Prozessen können keine geladenen DLLs angezeigt werden
  2. Die tatsächlichen Thread-Startadressen können nicht angezeigt werden (anstelle von winsrv.DLL und CSRSRV.dll wird entweder 0x0 oder! RtlUserThreadStart angezeigt
  3. Der Stapel eines csrss.exe-Threads kann nicht angezeigt werden
  4. Thread in csrss.exe kann nicht angehalten oder beendet werden
  5. Zeichenfolgen im Speicher zeigen "Fehler beim Öffnen"

Foto

Laut der 6. Ausgabe von Windows Internals wird dies im Prozess-Explorer angezeigt, wenn versucht wird, die Threads des "geschützten Prozesses" anzuzeigen ...

... Process Explorer kann die Win32-Thread-Startadresse nicht anzeigen und zeigt stattdessen den Standard-Thread-Start-Wrapper in Ntdll.dll an. Wenn Sie versuchen, auf die Schaltfläche Stapeln zu klicken, wird eine Fehlermeldung angezeigt, da der Prozess-Explorer den virtuellen Speicher innerhalb des geschützten Prozesses lesen muss, was nicht möglich ist.

Csrss.exe ist jedoch KEIN geschützter Prozess. Auch wenn dies der Fall wäre, kann man normalerweise noch "geschützte Prozesse" aussetzen, was in diesem Fall nicht möglich ist.

Als Referenz sieht es normalerweise so aus wie in Process Explorer ... von einem frisch installierten System.

Geben Sie hier die Bildbeschreibung ein

Kein anderes Tool, das ich ausgeführt habe, erkennt etwas Bösartiges. Process Hacker kann jedoch auf die Threads zugreifen und sie sehen so aus, wie ich es erwarten würde ...

Geben Sie hier die Bildbeschreibung ein

2 Dinge, die ich weiß, denke ich:

  1. Dies ist ein abnormales Verhalten (die meisten anderen Systeme, die ich mir anschaue, gewähren Elevated Admin vollen Zugriff auf csrss.exe-Threads, -Strings usw.)
  2. Dies scheint im Einklang mit dem Rootkit-ähnlichen Versteckverhalten zu stehen. Nach diesem Zitat aus dem Buch "Malware Analyst's Cookbook":

Wenn ein Rootkit einen zuverlässigen Weg findet, um den Zugriff auf csrss.exe zu verbergen oder zu verhindern, ohne eine Systeminstabilität zu verursachen, kann dies zu einem Problem führen. Tatsächlich stellte der Autor von CsrWalker fest, dass einige Hacker versuchten, CsrWalker am Arbeiten zu hindern, indem sie ZwOpenProcess einbanden und das Erkennungstool daran hinderte, den Speicher von csrss.exe zu lesen.

Kann jemand erklären, warum ein Administrator, der PE mit erhöhten Rechten ausführt, diese Anomalien außer einem unbekannten Rootkit sieht?


Als Ausgangspunkt enthält file.net einige nützliche Informationen zu dieser Datei und anderen regulären Windows-Dateien. file.net

Schauen Sie sich diese Super User Frage an
ich sage Reinstate Monica

Danke Icaro ... Ich hatte nicht daran gedacht, die Dateigröße zu bestätigen, aber es scheint, als würde der richtige Ordner ausgehen ... C: \ Windows \ system32. Ich werde die Dateigröße überprüfen.
Craig Cummings

Hi Twisty ... Ich habe einige der in diesem Artikel erwähnten Tools ausprobiert, einschließlich einiger Offline-Scanner, die von USB gestartet wurden. Die einzigen Tools, die mir etwas Verdächtiges anzeigen, sind GMER und Process Explorer. Die Anomalien bleiben in SMWN bestehen. Im Gegensatz zu der von Ihnen geposteten SuperUser-Frage werden keine TCP / IP-Verbindungen angezeigt. Ich wünschte, ich hätte es getan, denn ein schneller Whois würde meinen Verdacht leicht bestätigen.
Craig Cummings

Welches Betriebssystem ist das? Irgendeine Idee, warum der erste CSRSS.EXE-Prozess am 05.01.15 und der andere am 10.12.14 gestartet wurde? Eine Sache, die ich seltsam finde, ist, dass die Instanz vom 10. Dezember nur 29 Kontextwechsel hat. Wenn es nicht alles im Kernel macht, scheint das für einen Prozess, der fast zwei Monate gedauert hat, niedrig zu sein.
Ich sage Reinstate Monica

Antworten:


1

CSRSS ist ein Standarddienst von Microsoft: https://en.wikipedia.org/wiki/Client/Server_Runtime_Subsystem

Es ist im Grunde eine Zwischenfunktion, die zwischen dem Benutzerbereich und dem Kernelbereich wechselt.

Mit der Berechtigung auf Kernelebene können Sie nicht über ein normales Userspace-Programm auf die Speicherzuordnung zugreifen. Dies ist ein Sicherheitsmechanismus, der verhindert, dass böswillige Programme die Speicherzuordnung von Programmen mit Zugriff auf den Kernelspace verwenden, z. B. csrss, um den Kernelspace-Speicher nach Möglichkeiten zu durchsuchen, um eine Eskalation der Berechtigungen zu erreichen.

Es ist weit verbreitet, dass es sich um einen Virus oder Trojaner handelt. Dieser Scherz wird von vielen skrupellosen Websites verwendet, die versuchen, Sie zum Herunterladen von Trojanern, Spyware oder Adware zu bewegen, um ihn zu entfernen. Laden Sie NIEMALS System-Scanner oder ausführbare Dateien von einer nicht vertrauenswürdigen Website herunter.


0

Zu Ihrer Information (wie hier erwähnt ):

csrss.exe ist ein Prozess, der als Trojaner registriert ist. Mit diesem Trojaner können Angreifer von entfernten Standorten aus auf Ihren Computer zugreifen, Kennwörter, Internetbanking und persönliche Daten stehlen. Dieser Prozess stellt ein Sicherheitsrisiko dar und sollte von Ihrem System entfernt werden. Es wird dringend empfohlen, einen KOSTENLOSEN Registrierungsscan durchzuführen, um Fehler im Zusammenhang mit csrss.exe zu identifizieren.


1
Benötigt weitere Informationen. Dies hängt sehr davon ab, den richtigen Prozess zu identifizieren. Das Löschen des falschen (oder Verweises darauf) auf der Grundlage des oben Gesagten führt wahrscheinlich zu einer Absturz- und Startschleife.
6bρɯͽ
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.