マルウェアまたは奇妙なWindowsサービスの動作?
はじめに
最近、PCを整理するときに、サービス名に奇妙な値が付加されているサービスに気づきました。 sc queryからの出力では、次のようになります。
SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
TYPE : e0 USER_SHARE_PROCESS INSTANCE
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
[をちょきちょきと切る]...
SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
TYPE : e0 USER_SHARE_PROCESS INSTANCE
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
画像としてRegedit出力:
アイデア/アクション
私が最初に思ったのは、ウイルス/マルウェアに感染した可能性があり、悪質なトレードクラフトを使用して正当なサービスになりすまそうとしているものがあるということでした。サービスは正規の非16進数の対応物とほとんど同じであるため、私はこれを除外したと思います。 (regeditの出力を参照)
一部のサービスには無効な説明がありますが、regeditで説明を作成するための同一のコードです。また、sc delete <svcname>を発行しました。ただし、再起動すると再作成されます。
ご質問
これらのサービスとは何ですか?なぜこのように命名されているのですか?
どのように削除しますか?
CDPUserSvcは正規のMS Windowsサービスです。
付加されたランダムコードに関しては、例えば_ 405bc、これはサフィックスのない同じWindowsサービスのコピーです。 MSはこれらの「シャドウ」コピーを「セキュリティ」対策として追加しました(ついでに、これらのサービスのユーザー管理をより困難にするため)。 Windows OneSyncSvcのシャドウの例を以下に示します。再起動時にサフィックスが変更される可能性があるため、サービスを完全に無効にするには(たとえば、Windows OneSyncを使用しない場合)、HKLM\SYSTEM\CurrentControlSet \にStartを設定しますサービス...bothのサービスとそのシャドウを4に。
これはマルウェアではありませんが、私の考えでは、プロセスまたはサービスのかなり悪い名前です。ウイルスプロセスもそのような名前を使用します。上記の投稿を読んだ後、ウイルスプロセスが実際には正当なプロセスであるとユーザーをだますのは簡単です。
他の同様のプロセスもあります: Win10でOneSyncSvc_c523dを無効にする方法?