Savoir si un processus / programme est malveillant (csrss.exe)
Dans l’article d’aujourd’hui, je vais répondre à une question qui m’a été posée :
« Est-ce que csrss.exe est malveillant ? J’ai lu que c’était un processus système«
Alors effectivement, csrss.exe est le nom d’un processus système.
Mais il y a un mais !
Voilà ce que je lis sur un site que vous connaissez tous très bien :
Non, Non, Non…
Arrêtons de répandre cela partout, on ne doit pas affirmer ça si vite sans plus d’explications !
Surtout quand ça peut-être totalement faux.
csrss est un nom donné à un processus système certes. Mais là où un problème de taille se pose, c’est lorsqu’on se rend compte que l’on peut renommer n’importe quel programme en n’importe quoi.
Et les créateurs de programmes malveillants adorent qu’on dise que leur programme « n’est en aucun cas malveillant en plus d’être un processus système impossible à arrêter ».
C’est juste parfait pour eux !
Je peux donc vous faire un joli petit cheval de troie qui s’appellera « csrss.exe ».
« Je peux vous faire un joli cheval de troie qui s'appellera csrss.exe »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInVous allez le voir, vous allez chercher des informations sur Internet, vous allez ensuite lire le texte précédent et vous dire que c’est un « processus critique » ne « pouvant pas être arrêté ».
Vous allez donc gentiment laisser le cheval de troie sur votre ordinateur en pensant qu’il s’agit d’un processus sain.
EDIT des années après : Ce qui est drôle c’est qu’à présent on tombe sur des explications comme celle-ci :
C’est l’un(e) d’entre-vous qui s’est amusé(e) à un faire un cheval de Troie en me lisant ou quoi ??
D’ailleurs je me permets d’ajouter des explications toujours en rapport avec la première capture d’écran de l’article :
%SystemRoot% est ce que l’on appelle une variable d’environnement. Windows en utilise pour retourner directement des valeurs.
Appuyez par exemple sur la touche Windows et sur la touche R en même temps. Puis tapez %systemroot% (les majuscules ou minuscules importent peu, les variables ne sont pas sensibles à la casse).
Vous venez d’ouvrir le dossier racine de Windows, qui de base est
C:/Windows
Chez certaines personnes, il peut s’agir de
D:/Windows
c’est pour cela qu’on emploie des variables qui retourneront toujours la bonne lettre. Cela nous permet, à la fois dans le code mais aussi dans les explications, de faire référence à la bonne lettre. Et d’éviter qu’on nous réponde justement que « chez moi il n’y a pas de C: ».
—
« Il s’agit d’un processus système critique ne pouvant être arrêté«
Hmm, ok, voyons cela et essayons de l’arrêter en tant qu’administrateur du système :
Bon, visiblement on peut l’arrêter.
Mais effectivement le système tout entier s’arrêtera entièrement, il s’agit donc bien dans ce cas du processus système très important dont le site précédent faisait référence.
Finalement on aurait trouvé un moyen de différencier le vrai csrss.exe du faux ?
Note : J’utilise Windows 7 pour la démonstration, mais il est possible que sous une autre version de Windows, vous ne pourrez pas l’arrêter du tout. Ou que vous pourrez l’arrêter… ou qu’il n’existera pas, que sais-je !
Alors comment savoir si mon processus csrss.exe est sain ?
Maintenant, j’arrive au point intéressant dont je voulais vous parler.
Rien ne m’interdit de créer un programme appelé csrss.exe, je vais donc le faire.
En passant, est-ce que ça aurait été une bonne idée selon vous de réserver complètement des noms de fichiers pour le système ? De telle sorte qu’on ne puisse justement pas le copier au niveau du nom ?
Voici donc une image avec les deux processus lancés, sauriez-vous reconnaître le processus système de celui qui vient d’être crée ?
Il y a deux choses qui sautent aux yeux :
- La colonne « Nom d’utilisateur » (celle appelée « Nom… » qui a été tronquée sur l’image) est vide pour le premier.
- La colonne « Nom du chemin d’accès de l’image » est également vide pour le premier.
Hmm.
Le premier serait donc le programme suspect ?
Non, c’est le contraire, les lignes dont le nom ou le chemin d’accès de l’image est vide, sont des processus systèmes.
Pour vérifier que votre fichier csrss.exe est bien celui du système, vous pouvez donc ouvrir le gestionnaire des tâches (CTRL + SHIFT + ECHAP) et vérifier que les deux lignes dont je parle sont bien vides. Là encore cela dépend de votre système et du moment où vous lisez ces lignes.
Cela va de même pour les autres processus systèmes comme winlogon.exe, dllhost.exe, etc…
À vrai dire, les lignes ne sont pas vides, mais masquées. Cliquez donc sur « Afficher les processus de tous les utilisateurs », et observez le résultat :
Vous avez ici la preuve qu’il s’agit du processus système (en vert). On vient de voir qu’il y a un deuxième processus csrss provenant du système, pas de problème de ce côté ce n’est pas anormal.
Vous voyez également que le chemin
C:/Windows
dont on parlait avant est visible dans la colonne « Nom du chemin d’accès de l’image ».
Par contre le processus imposteur (en rouge) n’appartient pas au système mais ici à « m » qui est mon nom d’utilisateur, le votre sera différent.
Et seulement À PARTIR DE MAINTENANT vous pouvez être sûr qu’il s’agit d’un processus système ou au contre d’un processus malsain (car s’appeler comme ça est très probablement malsain).
Et encore, être sûr demanderait d’utiliser Process Explorer à la place, et/ou de le scanner sur Virustoal pour comparer le hash à la version officielle de Microsoft. Mais il faut que j’en laisse pour Cyberini quand même…
Attention ! Cela ne signifie pas que tous les processus avec votre nom d’utilisateur sont suspects, mais plutôt ceux qui ont le même nom que les programmes systèmes.
Lecture additionnelle :
Comment savoir si j’ai été piraté(e) ?
Morale de l’histoire
Il est impossible de dire de façon sûre qu’un programme est malveillant ou non à partir de son nom uniquement.
Au contraire, dire qu’il est sain de façon aveugle, c’est donner une bonne idée aux pirates pour qu’ils renomment leurs programmes.
Et ces finalement contribuer indirectement aux piratages… Comme tellement de fausses bonnes pratiques que j’ai pu lire…
Et l’utilisateur non averti va, comme toujours, se faire avoir.
Je rappelle pour finir que d’autres techniques encore plus efficaces et complètes sont données dans le cours Nettoyage PC, Désinfection et Sécurisation. Je peux dire de façon confiante que votre pc sera encore plus clean que Mr Propre.
13 Commentaires
Cliquez ici pour ajouter un commentaire
Merci michel de répondre a nos questions aussi vite, très bon article comme toujours
Avec plaisir 😉
Très bon article merci bien !
salut ! un petit com’ pour dire que le site est exellent, et que il est régulierement mis a jour, avec des sujet intéressent. je remerci tout les membres du site pour metre de nouveaux sujet !
Génial ! Comme d’habitude, continue comme ça 😉
Merci à vous tous, ce sont vos commentaires qui me font plaisir et me donnent envie de continuer ! 😉
ça c’est sur ton site est de loin le plus fiable et d’après moi le meilleur ^^ continu surtout :p et moi je me suis poser la question aussi puis j’ai fouiller et j’ai aussi découvert que ce n’était pas un malware par contre je ne savait pas qu’on pouvait crée 2 « application » du même nom merci pour l’info :p
De rien et avec plaisir LeHackerDesBois !
Merci pour l’article !
Bonsoir,
Il existe un utilitaire pratique et simple qui peut être intéressant d’utiliser en parallèle avec le gestionnaire de processus Windows, il se nomme « TCPView », il est gratuit. Il permet notamment de voir les adresses locales et distantes avec leurs ports associés accompagnés du volume de données échangées etc par chaque processus.
Ce qui me plaît dans cet utilitaire c’est que l’on a un visuel clair et rapide de ce qui transite sur tous les processus actifs. Une fonctionnalité astucieuse est l’affichage en couleur en temps réel de l’activité des ports:
* Les nouvelles connexions créées sont montrées en vert.
* Les connexions changeant de serveur ou de port sont visualisées en jaune.
* Les connexions qui se ferment s’affichent en rouge.
Au niveau paramétrage de l’utilitaire, il n’y a rien à faire, laissez la config par défaut. Le couple « TCPView » et le gestionnaire de tâches de Windows forment un bon Duo ! 🙂
A vos claviers ! 🙂
wow merci très utile !
[…] Est-ce que ce processus est malveillant […]
ce site est superbe génial. Merci pour tout!