멀웨어 또는 이상한 Windows 서비스 동작?

소개

최근에 PC를 정리할 때 서비스 이름에 홀수 값이 추가 된 일부 서비스를 발견했습니다. 결과는 sc query다음과 같습니다.

SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

[한조각]…

SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

이미지로 Regedit 출력 :

아이디어 / 조치

내 첫 번째 생각은 바이러스 / 악성 프로그램 감염 일 가능성이 있으며 나쁜 tradecraft로 합법적 인 서비스를 가장하려는 것이 었습니다. 나는 서비스가 16 진수가 아닌 합법적 인 부가 서비스와 거의 동일하기 때문에 이것을 배제했다고 생각합니다. (regedit 출력 참조)

일부 서비스에는 유효하지 않은 설명이 있지만 regedit에서 설명을 작성하기위한 동일한 코드가 있습니다. 또한, 나는 sc delete <svcname>성공적으로 발행 했습니다. 그러나 재부팅시 다시 생성됩니다.

질문

이러한 서비스는 무엇이며 왜 이런 이름을 갖습니까?
그것들을 어떻게 제거합니까?



답변

CDPUserSvc는 합법적 인 MS Windows 서비스입니다.

_405bc 와 같이 추가 된 임의 코드 는 접미사가없는 동일한 Windows 서비스의 사본입니다. MS는 이러한 “섀도”복사본을 “보안”수단으로 추가했습니다 (실수로 이러한 서비스의 사용자 관리를 어렵게 만듭니다). Windows OneSyncSvc의 그림자와 같은 예가 아래에 나와 있습니다. 다시 부팅 할 때 접미사가 변경 될 수 있으므로 서비스를 영구적으로 비활성화하려면 (예 : Windows OneSync를 사용하지 않는 경우) 서비스 및 섀도우 모두 에 대해 HKLM \ SYSTEM \ CurrentControlSet \ Services …에서 시작 을 4로 설정하십시오.


답변

이것은 악성 코드가 아닙니다. 그러나 저는 겸손한 의견으로는 프로세스 나 서비스에 대한 나쁜 이름입니다. 바이러스 프로세스도 그러한 이름을 사용합니다. 바이러스 프로세스가 실제로 합법적 인 프로세스라는 위의 게시물을 읽은 후 사용자를 속이기 쉽습니다.

다른 유사한 프로세스도 있습니다 : Win10에서 OneSyncSvc_c523d를 비활성화하는 방법?