Dans l’article d’aujourd’hui, je vais répondre à une question qui m’a été posée :

« Est-ce que csrss.exe est malveillant ? J’ai lu que c’était un processus système« 

Alors effectivement, csrss.exe est le nom d’un processus système.

Mais il y a un mais !

Voilà ce que je lis sur un site que vous connaissez tous très bien :

csrss programme malveillant

Non, Non, Non…

non

Arrêtons de répandre cela partout, on ne doit pas affirmer ça si vite sans plus d’explications !

Surtout quand ça peut-être totalement faux.

csrss est un nom donné à un processus système certes. Mais là où un problème de taille se pose, c’est lorsqu’on se rend compte que l’on peut renommer n’importe quel programme en n’importe quoi.

Et les créateurs de programmes malveillants adorent qu’on dise que leur programme « n’est en aucun cas malveillant en plus d’être un processus système impossible à arrêter ».

C’est juste parfait pour eux !

Je peux donc vous faire un joli petit cheval de troie qui s’appellera « csrss.exe ».

« Je peux vous faire un joli cheval de troie qui s'appellera csrss.exe »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Vous allez le voir, vous allez chercher des informations sur Internet, vous allez ensuite lire le texte précédent et vous dire que c’est un « processus critique » ne « pouvant pas être arrêté ».

Vous allez donc gentiment laisser le cheval de troie sur votre ordinateur en pensant qu’il s’agit d’un processus sain.

EDIT des années après : Ce qui est drôle c’est qu’à présent on tombe sur des explications comme celle-ci :

C’est l’un(e) d’entre-vous qui s’est amusé(e) à un faire un cheval de Troie en me lisant ou quoi ??

 

D’ailleurs je me permets d’ajouter des explications toujours en rapport avec la première capture d’écran de l’article :

%SystemRoot% est ce que l’on appelle une variable d’environnement. Windows en utilise pour retourner directement des valeurs.

Appuyez par exemple sur la touche Windows et sur la touche R en même temps. Puis tapez %systemroot% (les majuscules ou minuscules importent peu, les variables ne sont pas sensibles à la casse).

Vous venez d’ouvrir le dossier racine de Windows, qui de base est

C:/Windows

Chez certaines personnes, il peut s’agir de

D:/Windows

c’est pour cela qu’on emploie des variables qui retourneront toujours la bonne lettre. Cela nous permet, à la fois dans le code mais aussi dans les explications, de faire référence à la bonne lettre. Et d’éviter qu’on nous réponde justement que « chez moi il n’y a pas de C: ».

« Il s’agit d’un processus système critique ne pouvant être arrêté« 

Hmm, ok, voyons cela et essayons de l’arrêter en tant qu’administrateur du système :

csrss

Bon, visiblement on peut l’arrêter.

Mais effectivement le système tout entier s’arrêtera entièrement, il s’agit donc bien dans ce cas du processus système très important dont le site précédent faisait référence.

Finalement on aurait trouvé un moyen de différencier le vrai csrss.exe du faux ?

Note : J’utilise Windows 7 pour la démonstration, mais il est possible que sous une autre version de Windows, vous ne pourrez pas l’arrêter du tout. Ou que vous pourrez l’arrêter… ou qu’il n’existera pas, que sais-je !

Alors comment savoir si mon processus csrss.exe est sain ?

Maintenant, j’arrive au point intéressant dont je voulais vous parler.

Rien ne m’interdit de créer un programme appelé csrss.exe, je vais donc le faire.

En passant, est-ce que ça aurait été une bonne idée selon vous de réserver complètement des noms de fichiers pour le système ? De telle sorte qu’on ne puisse justement pas le copier au niveau du nom ?

Voici donc une image avec les deux processus lancés, sauriez-vous reconnaître le processus système de celui qui vient d’être crée ?

csrss2

Il y a deux choses qui sautent aux yeux :

  • La colonne « Nom d’utilisateur » (celle appelée « Nom… » qui a été tronquée sur l’image) est vide pour le premier.
  • La colonne « Nom du chemin d’accès de l’image » est également vide pour le premier.

Hmm.

Le premier serait donc le programme suspect ?

Non, c’est le contraire, les lignes dont le nom ou le chemin d’accès de l’image est vide, sont des processus systèmes.

Pour vérifier que votre fichier csrss.exe est bien celui du système, vous pouvez donc ouvrir le gestionnaire des tâches (CTRL + SHIFT + ECHAP) et vérifier que les deux lignes dont je parle sont bien vides. Là encore cela dépend de votre système et du moment où vous lisez ces lignes.

Cela va de même pour les autres processus systèmes comme winlogon.exe, dllhost.exe, etc…

À vrai dire, les lignes ne sont pas vides, mais masquées. Cliquez donc sur « Afficher les processus de tous les utilisateurs », et observez le résultat :

csrss3

Vous avez ici la preuve qu’il s’agit du processus système (en vert). On vient de voir qu’il y a un deuxième processus csrss provenant du système, pas de problème de ce côté ce n’est pas anormal.

Vous voyez également que le chemin

C:/Windows

dont on parlait avant est visible dans la colonne « Nom du chemin d’accès de l’image ».

Par contre le processus imposteur (en rouge) n’appartient pas au système mais ici à « m » qui est mon nom d’utilisateur, le votre sera différent.

Et seulement À PARTIR DE MAINTENANT vous pouvez être sûr qu’il s’agit d’un processus système ou au contre d’un processus malsain (car s’appeler comme ça est très probablement malsain).

Et encore, être sûr demanderait d’utiliser Process Explorer à la place, et/ou de le scanner sur Virustoal pour comparer le hash à la version officielle de Microsoft. Mais il faut que j’en laisse pour Cyberini quand même…

Attention ! Cela ne signifie pas que tous les processus avec votre nom d’utilisateur sont suspects, mais plutôt ceux qui ont le même nom que les programmes systèmes.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

Morale de l’histoire

Il est impossible de dire de façon sûre qu’un programme est malveillant ou non à partir de son nom uniquement.

Au contraire, dire qu’il est sain de façon aveugle, c’est donner une bonne idée aux pirates pour qu’ils renomment leurs programmes.

Et ces finalement contribuer indirectement aux piratages… Comme tellement de fausses bonnes pratiques que j’ai pu lire…

Et l’utilisateur non averti va, comme toujours, se faire avoir.

Je rappelle pour finir que d’autres techniques encore plus efficaces et complètes sont données dans le cours Nettoyage PC, Désinfection et Sécurisation. Je peux dire de façon confiante que votre pc sera encore plus clean que Mr Propre.

mpropre

13 Commentaires
Cliquez ici pour ajouter un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu