Dans l’article d’aujourd’hui, je vais répondre à une question qui m’a été posée :

« Est-ce que csrss.exe est malveillant ? J’ai lu que c’était un processus système« 

Alors effectivement, csrss.exe est le nom d’un processus système. Mais il y a un mais.

Voilà ce que je lis sur un site que vous connaissez tous très bien (CCM pour ne pas le citer 😉 ) :

csrss programme malveillant

Non, Non, Non…

non

Arrêtons de répandre cela partout, on ne doit pas affirmer ça si vite sans plus d’explications, surtout quand ça peut-être totalement faux.

Des détails, on veut des détails.

csrss est un nom donné à un processus système mais là où un problème de taille se pose, c’est lorsqu’on se rend compte que l’on peut renommer n’importe quel programme.

Et les créateurs de programmes malveillants adorent qu’on dise que leur programme « n’est en aucun cas malveillant en plus d’être un processus système impossible à arrêter ».

Je peux donc vous faire un joli petit cheval de troie qui s’appellera « csrss.exe ».

Vous allez le voir, vous allez chercher des informations sur Internet, vous allez ensuite lire le texte précédent et vous dire que c’est un « processus critique » ne « pouvant pas être arrêté », vous allez donc gentiment laisser le cheval de troie sur votre ordinateur en pensant qu’il s’agit d’un processus sain.

D’ailleurs je me permets d’ajouter des explications là où je juge qu’il faudrait en ajouter :

%SystemRoot% est ce que l’on appelle une variable d’environnement. Windows en utilise pour retourner directement des valeurs.

Appuyez par exemple sur la touche Windows et sur la touche R en même temps. Puis tapez %systemroot% (les majuscules ou minuscules importent peu, les variables ne sont pas sensibles à la casse).

Vous venez d’ouvrir le dossier racine de Windows, qui de base est

C:/Windows

Chez certaines personnes, il peut s’agir de

D:/Windows

c’est pour cela qu’on emploie des variables qui retourneront toujours la bonne lettre.

« Il s’agit d’un processus système critique ne pouvant être arrêté« 

Hmm, ok, voyons cela et essayons de l’arrêter en tant qu’administrateur du système :

csrss

Bon, visiblement on peut l’arrêter.

Mais effectivement le système tout entier s’arrêtera entièrement, il s’agit donc bien dans ce cas du processus système très important dont le site précédent faisait référence.

Note : J’utilise Windows 7 pour la démonstration, mais il est possible que sous une autre version de Windows, vous ne pourrez pas l’arrêter du tout.

Alors comment savoir si mon processus csrss.exe est sain ?

Maintenant, j’arrive au point intéressant dont je voulais vous parler.

Rien ne m’interdit de créer un programme appelé csrss.exe, je vais donc le faire.

Voici donc une image avec les deux processus lancés, sauriez-vous reconnaître le processus système de celui qui vient d’être crée ?

csrss2

Il y a deux choses qui sautent aux yeux :

  • La colonne « Nom d’utilisateur » (celle appelée « Nom… » qui a été tronquée sur l’image) est vide pour le premier.
  • La colonne « Nom du chemin d’accès de l’image » est également vide pour le premier.

Hmm.

Le premier serait donc le programme suspect ?

Non, c’est le contraire, les lignes dont le nom ou le chemin d’accès de l’image est vide, sont des processus systèmes.

Pour vérifier que votre fichier csrss.exe est bien celui du système, vous pouvez donc ouvrir le gestionnaire des tâches (CTRL + SHIFT + ECHAP) et vérifier que les deux lignes dont je parle sont bien vides.

Cela va de même pour les autres processus systèmes comme winlogon.exe, dllhost.exe, etc…

À vrai dire, les lignes ne sont pas vides, mais masquées. Cliquez donc sur « Afficher les processus de tous les utilisateurs », et observez le résultat :

csrss3

Vous avez ici la preuve qu’il s’agit du processus système (en vert). On vient de voir qu’il y a un deuxième processus csrss provenant du système, pas de problème de ce côté ce n’est pas anormal.

Vous voyez également que le chemin

C:/Windows

dont on parlait avant est visible dans la colonne « Nom du chemin d’accès de l’image ».

Par contre le processus imposteur (en rouge) n’appartient pas au système mais ici à « m » qui est mon nom d’utilisateur, le votre sera différent.

Et seulement À PARTIR DE MAINTENANT vous pouvez être sûr qu’il s’agit d’un processus système ou au contre d’un processus malsain (car s’appeler comme ça est très probablement malsain).

Attention ! Cela ne signifie pas que tous les processus avec votre nom d’utilisateur sont suspects, mais seulement ceux qui ont le même nom que les programmes systèmes.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

Morale de l’histoire

Il est impossible de dire de façon sûre qu’un programme est malveillant ou non à partir de son nom uniquement.

Au contraire, dire qu’il est sain de façon aveugle, c’est donner une bonne idée aux pirates pour qu’ils renomment leurs programmes.

Et l’utilisateur non averti va, comme toujours, se faire avoir par la faute de cette annonce qui n’est pas suffisamment précise.

Je rappelle pour finir que d’autres techniques encore plus efficaces et complètes sont données dans les guides Comment Protéger son Ordinateur et sa Vie privée et Nettoyer Son PC. Je peux dire de façon confiante que votre pc sera encore plus clean que Mr Propre.

mpropre

13 Commentaires. En écrire un nouveau

Laisser un commentaire

Menu
More in Hacking Éthique, Détection de Piratages, Sécurité Informatique, Virus & Antivirus
Fonctionnement d’un Cheval De Troie et Comment le repérer

Cheval De Troie, Trojan, RAT, Outil d’Administration à Distance, peu importe comment on l'appelle, il fait peur tant il paraît dangereux et efficace. Dans l'article...

Close