it-swarm-ja.com

マルウェアまたは奇妙なWindowsサービスの動作?

はじめに

最近、PCを整理するときに、サービス名に奇妙な値が付加されているサービスに気づきました。 sc queryからの出力では、次のようになります。

SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

[をちょきちょきと切る]...

SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

画像としてRegedit出力:

アイデア/アクション

私が最初に思ったのは、ウイルス/マルウェアに感染した可能性があり、悪質なトレードクラフトを使用して正当なサービスになりすまそうとしているものがあるということでした。サービスは正規の非16進数の対応物とほとんど同じであるため、私はこれを除外したと思います。 (regeditの出力を参照)

一部のサービスには無効な説明がありますが、regeditで説明を作成するための同一のコードです。また、sc delete <svcname>を発行しました。ただし、再起動すると再作成されます。

ご質問

これらのサービスとは何ですか?なぜこのように命名されているのですか?
どのように削除しますか?

7
Deney Fletcher

CDPUserSvcは正規のMS Windowsサービスです。

付加されたランダムコードに関しては、例えば_ 405bc、これはサフィックスのない同じWindowsサービスのコピーです。 MSはこれらの「シャドウ」コピーを「セキュリティ」対策として追加しました(ついでに、これらのサービスのユーザー管理をより困難にするため)。 Windows OneSyncSvcのシャドウの例を以下に示します。再起動時にサフィックスが変更される可能性があるため、サービスを完全に無効にするには(たとえば、Windows OneSyncを使用しない場合)、HKLM\SYSTEM\CurrentControlSet \にStartを設定しますサービス...bothのサービスとそのシャドウを4に。

OneSncSvc shadow

7
DrMoishe Pippik

これはマルウェアではありませんが、私の考えでは、プロセスまたはサービスのかなり悪い名前です。ウイルスプロセスもそのような名前を使用します。上記の投稿を読んだ後、ウイルスプロセスが実際には正当なプロセスであるとユーザーをだますのは簡単です。

他の同様のプロセスもあります: Win10でOneSyncSvc_c523dを無効にする方法?

0
alpha_989