首页 csrss.exe

csrss.exe

举报
开通vip

csrss.execsrss.exe系统进程及相关病毒分析 [csrss.exe]系统进程分析   进程文件:csrss or csrss.exe   进程名称:Microsoft Client/Server Runtime Server Subsystem   描  述:客户端服务子系统,用以控制Windows图形相关子系统。   介  绍:这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-...

csrss.exe
csrss.exe系统进程及相关病毒分析 [csrss.exe]系统进程分析   进程文件:csrss or csrss.exe   进程名称:Microsoft Client/Server Runtime Server Subsystem   描  述:客户端服务子系统,用以控制Windows图形相关子系统。   介  绍:这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。   注意:csrss.exe也有可能是 W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a 等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。 文章导航: [csrss.exe]系统进程分析 [csrss.exe]究竟谁“伪装”成我了?   [csrss.exe]究竟谁“伪装”成我了?   注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程   前两天突然发现在C:Program Files下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。   这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。   然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:Windows下,大小52736字节。而真正的csrss.exe只有4k,位于C:WindowsSyetem32下。   于是用UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。   试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。   然后要查找和它有关的文件。仍然用系统搜索功能,查找当天生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。   此后在12:38分生成了一个tmp.dat文件,内容是   @echo off    debug C:DOCUME~1ADMINI~1LOCALS~1Temp mp.dat C:DOCUME~1ADMINI~1LOCALS~1Temp mp.out    copy C:DOCUME~1ADMINI~1LOCALS~1Temp mp.dat C:WINDOWSsystem32 etstart.exe>C:DOCUME~1ADMINI~1LOCALS~1Temp mp.out    del C:DOCUME~1ADMINI~1LOCALS~1Temp mp.dat >C:DOCUME~1ADMINI~1LOCALS~1Temp mp.out    del C:DOCUME~1ADMINI~1LOCALS~1Temp mp.in >C:DOCUME~1ADMINI~1LOCALS~1Temp mp.out    C:WINDOWSsystem32 etstart.exe   好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。   汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:WindowsSystem32下,后两个在当前用户的Temp文件夹里。   这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。   现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
本文档为【csrss.exe】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_242945
暂无简介~
格式:doc
大小:30KB
软件:Word
页数:0
分类:互联网
上传时间:2011-06-16
浏览量:33