맬웨어로 보일 수 있는 11가지 합법적인 Windows 프로세스

Windows 프로세스는 컴퓨터 또는 랩톱의 올바른 작동에 중요한 역할을 합니다. csrss.exe 및 winlogon.exe와 같은 일부는 매우 중요하므로 실수로 종료하기로 결정하면 시스템이 충돌할 수 있습니다. 맬웨어 작성자는 건강한 Windows 시스템을 감염시키기 위해 이 중요한 기능을 이용합니다. 전제는 바이러스, 애드웨어, 스파이웨어 및 트로이 목마는 무엇이든 불릴 수 있으며 표준 Windows 시스템 프로세스의 이름을 따서 명명할 수도 있다는 것입니다.

다음은 종종 같은 이름의 맬웨어와 혼동되는 몇 가지 주요 Windows 11 및 10 프로세스입니다. 시스템에 위조품이 표시되는 경우 위조품을 식별하는 방법을 알아보세요.

Windows 프로세스가 합법적인지 확인하는 방법

Windows 프로세스가 합법적인지 또는 맬웨어 소스인지 확인하는 두 가지 방법이 있습니다. 응용 프로그램 속성을 사용하거나 CrowdStrike의 CrowdInspect와 같은 타사 도구를 사용하는 것입니다.

1. 속성으로 Windows 프로세스의 적법성을 확인합니다.

인증된 모든 Windows 프로세스 파일은 Microsoft, 공식 소프트웨어/응용 프로그램 개발자 또는 WindowsApps와 같은 폴더를 관리하는 TrustedInstaller.exe와 같은 기본 제공 Microsoft 계정에 연결됩니다.

Windows 11 또는 10 프로세스가 합법적이고 맬웨어 소스가 아닌지 확인하려면 응용 프로그램 속성을 자세히 살펴봐야 합니다. 탭으로 이동 "세부사항" 그리고 프로세스의 공식 저작권 소유자를 찾으십시오. Microsoft, 앱 개발자 또는 TrustedInstaller라면 준비가 된 것입니다.

또한 Windows 11/10에서는 탭을 확인할 수 있습니다. "디지털 서명" 특성을 처리합니다. 여기에 최신 타임스탬프가 있는 공식 디지털 서명이 있어 추가 보증 계층을 제공합니다.

서명은 이러한 프로세스의 원동력이기 때문에 Microsoft의 표준 권한이 필요합니다. (또한 장치의 루트에 대한 무단 액세스는 다음을 통해 방지됩니다. UEFI 보안 부팅), 이제 맬웨어 작성자가 Windows 11에서 디지털 서명을 위조하는 것이 불가능합니다.

진부한 것부터 매우 중요한 것까지 "서비스.exe" أو "svchost.exe" 모든 Windows 11 프로세스는 타임스탬프로 디지털 서명됩니다. Windows 업데이트가 성공할 때마다 이 인증이 확인됩니다.

반면에 Windows 10 프로세스 속성에는 디지털 서명 탭이 완전히 없을 수 있습니다. 또한 일부 프로세스는 저작권 정보를 올바르게 표시하지 않을 수 있습니다.

그러나 Windows 10에서도 Winlogon.exe와 같은 미션 크리티컬 내부 시스템 프로세스는 항상 이 정보를 표시합니다. 다른 방법을 통해 소프트웨어의 진위 여부를 확인할 수 있습니다. 또한 Windows 10 또는 11에서 서명되지 않은 드라이버를 설치하면 이후 재부팅 시 디지털 서명이 나타나지 않습니다.

2. CrowdInspect로 Windows 프로세스의 적법성 확인

Windows 10 및 Windows 11 모두에서 외부 소프트웨어 애플리케이션인 CrowdStrike의 CrowdInspect를 사용하여 프로세스 파일의 유효성을 확인할 수 있습니다. CrowdInspect는 VirusTotal과 같은 탐지 엔진을 사용하여 백그라운드에서 맬웨어를 검색하는 무료 호스트 기반 실시간 프로세스 검색 도구입니다.

1. 공식 링크에서 CrowdInspect ZIP 파일 다운로드 그리고 압축을 푼 프로그램을 클릭하여 실행합니다. 아무것도 설치할 필요가 없습니다.
2. 라이선스 계약에 동의하고 Windows 시스템의 모든 백그라운드 프로세스에 대한 하이브리드 분석을 수행할 수 있는 화면으로 이동합니다. 내장 API 키를 사용하고 다음을 클릭하십시오. "확인".

3. CrowdInspect가 Windows 장치의 전체 백그라운드 프로그램 및 프로세스 세트로 화면을 채울 때까지 기다립니다.

색상 코드를 통해 프로그램 상태를 확인할 수 있습니다. 깨끗한 항목은 녹색 아이콘으로 표시됩니다. 의심스러운 경우 아이콘 옆에 물음표가 표시됩니다. 위협 수준이 낮은 항목에는 노란색 아이콘이 있습니다. 위험도가 높은 항목은 빨간색 아이콘으로 표시됩니다. 장치가 정상이면 노란색 또는 빨간색 아이콘이 표시되지 않습니다.

4. 맬웨어 문제가 없는지 추가로 확인하려면 프로세스를 마우스 오른쪽 버튼으로 클릭하고 HA 테스트 결과 보기. 어떤 오류도 발견되지 않아야 합니다. 이는 멀웨어를 다루고 있지 않다는 안전한 표시입니다.

맬웨어처럼 보이는 일반적인 Windows 11/10 프로세스 목록

1. 익스플로러.exe

범용 Windows 파일 탐색기 프로그램인 explorer.exe는 작업 표시줄과 바탕 화면에서 쉽게 액세스할 수 있습니다. 주요 목적은 Windows 11/10 장치의 모든 파일 및 폴더에 대한 파일 관리자 역할을 하는 것입니다. 그 중요한 중요성 때문에 explorer.exe는 공격자들이 선호하는 대상입니다.

바이러스 탐지: explorer.exe 맬웨어는 일반적으로 트로이 목마, 랜섬웨어(특히 이메일) 및 Adobe Flash 파일로 나타납니다. 합법적인 소프트웨어는 항상 다음 위치에 있습니다. “기음:\윈도우즈”, D 드라이브, 프로그램 파일, 숨겨진 폴더 또는 기타 컴퓨터 위치에 중복 항목이 나타날 수 있습니다.

행동: 컴퓨터에 explorer.exe 인스턴스가 XNUMX~XNUMX개 있는 경우 모두 유효한 디지털 서명과 위치가 있는 한 걱정할 필요가 없습니다. CPU를 소비하는 프로세스가 여러 개인 경우 CrowdInspect에서 더미 프로세스를 선택한 다음 마우스 오른쪽 버튼을 클릭합니다. 프로세스를 중지합니다.

2.lsass.exe

lsass.exe는 Windows 사용자 인증 뒤에서 실행되는 Local Security Authority Subsystem Service의 약자입니다. 맬웨어 외에도 원래 프로세스를 종료해서는 안 됩니다. 이렇게 하면 시스템이 액세스 권한을 잃게 됩니다. 관리자 계정 및 로컬 계정 , 장치가 다시 시작됩니다.

바이러스 탐지: lsass를 위장하기 위해 맬웨어 작성자가 사용하는 일반적인 방법은 소문자를 교체하는 것입니다. "엘" 편지와 함께 "나는" 대문자 또는 대문자로 "엘." 의도적인 맞춤법 오류에 주의하세요. 또한 유효하지 않은 디지털 서명 및 파일은 폴더 외부에 있습니다. “C : \ Windows \ System32” 당연한 선물입니다.

행동: 작업 관리자에서 lsass dummy 프로세스를 종료하십시오. 캐릭터인지 확실하지 않은 경우 "엘" 어머니 "나는" , CrowdInspect에서 동일한 작업을 수행합니다. 유효한 여러 lsass 인스턴스는 괜찮고 엉망이 아닙니다.

3. RuntimeBroker.exe

RuntimeBroker.exe는 Microsoft Store에서 다운로드한 모든 응용 프로그램의 권한을 관리하는 보안 Microsoft 프로세스입니다. 사진 앱과 같은 소프트웨어의 진위 여부를 확인합니다. 응용 프로그램이 Windows 시스템에 속하지 않는 경우 Runtime Broker는 너무 많은 추가 메모리를 사용하여 경고합니다.

바이러스 탐지: Windows 시스템이 RuntimeBroker.exe 바이러스에 감염된 경우 다른 컴퓨터 위치에서 바이러스의 존재를 볼 수 있습니다. "C:\Windows\System32." 소프트웨어가 불법이기 때문에 메모리 누수가 급격히 증가하여 CPU에 과부하가 걸립니다. 가짜 사례에 대해 유효하지 않은 디지털 서명도 확인할 수 있습니다.

행동: 열다 작업 관리자. 딸깍 하는 소리 여러 인스턴스 Runtime Broker에 유효하며 클릭 "일을 끝내라". 이렇게 하면 특정 앱의 모든 문제가 종료됩니다. 가짜 RuntimeBroker.exe 항목의 경우 CrowdInspect에서 종료합니다.

4.winlogon.exe

Windows 백그라운드 프로세스의 경우 체계에서 winlogon.exe보다 더 중요한 것은 없습니다. 로그인 프로세스를 제어할 뿐만 아니라 사용자 프로필을 로드하고 화면 보호기를 제어하며 여러 네트워크에 연결합니다. 그것은에 위치하고 있습니다 "C:\Windows\System32."

바이러스 탐지: 일반적으로 스파이웨어 또는 키로거인 winlogon.exe는 식별하기 쉬운 시스템 충돌을 일으킬 수 있는 매우 위험한 맬웨어입니다. Windows Defender를 실행 중인 경우 파일을 즉시 삭제하고 사용된 모든 벡터(이메일, 웹 브라우저)를 종료하라는 경고가 표시됩니다.

행동: 안전한 winlogon.exe 실행 파일은 CrowdInspect에서 둘 이상의 인스턴스를 포함하지 않습니다. 다른 가짜 인스턴스는 도착 시 Windows Defender 제안을 사용하여 삭제해야 합니다.

5. svchost.exe

Svchost.exe는 다음을 가리킵니다. Windows 서비스 호스트 , 다양한 Windows 서비스를 로드하는 셸 역할을 하는 공유 서비스 프로세스입니다. 열려 있는 응용 프로그램의 수에 따라 일반적으로 단일 프로세스로 실행되는 svchost.exe 인스턴스가 많이 있습니다.

바이러스 탐지: 중복 프로세스 또는 "svhosts.exe". 대부분 랜섬웨어 또는 은행 사기 도구입니다. 소스 벡터에는 PDF, ZIP 파일 및 JavaScript가 포함됩니다.

행동: 이러한 트로이 목마는 일반적으로 낮은 수준의 위협이지만 가능한 빨리 제거해야 합니다. 표준 바이러스 백신 도구 및 Windows Defender는 서비스에 없는 서비스의 모든 호스트 인스턴스를 삭제할 수 있습니다. "C:\Windows\System32".

6. 오피스클릭투런.exe

Word, Excel 또는 PowerPoint와 같은 Office 도구를 사용하는 경우 OfficeClickToRun.exe라는 실행 파일을 접하게 됩니다. 그 임무는 장치에서 최신 버전의 Microsoft Office를 실행하고 업데이트를 처리하는 것입니다. 맬웨어가 아닌 경우에도 OfficeClickToRun.exe는 CPU의 메모리를 많이 차지할 수 있습니다. 그러나 임시 파일을 주기적으로 삭제하면 훨씬 덜 부담이 됩니다.

바이러스 탐지: 실행 파일이 Microsoft 공유 폴더의 Program Files 이외의 위치에 있습니까? 추가 파일은 시스템에 적합하지 않습니다. 또한 Windows 컴퓨터에는 실행 중인 OfficeClickToRun.exe 인스턴스가 하나만 있어야 합니다. 다른 모든 사람의 디지털 서명을 확인합니다.

행동: 자체적으로 유해하지는 않지만 가짜 OfficeClickToRun.exe 인스턴스는 시스템 메모리를 방해할 수 있습니다. 일반적으로 그들은 즉시 삭제해야 하는 감염된 파일과 문서를 발견합니다.

7.igfxem.exe

igfxEM.exe는 알 수 없는 백그라운드 프로세스로 Intel 그래픽 카드를 관리하는 데 필요하므로 비디오 카드 표시에 매우 중요합니다. 장치에 사전 설치되어 제공되며 시스템에 전혀 부담이 되지 않으므로 그대로 두어야 합니다.

바이러스 탐지: igfxEM의 인스턴스가 두 개 이상 있는 경우(및 표시된 대로 철자가 틀린 경우) 디지털 서명이 올바른지 확인하십시오. Intel과 Microsoft가 표시되면 맬웨어가 없는 것입니다. 그렇지 않으면 원본 igfxEM 파일이 없으므로 이 프로세스를 제거해야 합니다.

행동: 유효한 디지털 서명이 있는 경우 조치를 취해서는 안 됩니다. 여러 Intel 인스턴스가 있는 경우에도 마찬가지입니다. 원래 Intel 그래픽 카드가 손상된 것 같으면 다음에서 드라이버를 다시 설치해 보십시오. "devmgmt.msc", 시작 메뉴의 장치 관리자.

8.Csrss.exe

Csrss.exe는 클라이언트 서버 런타임 하위 시스템을 나타내며 GUI 및 시스템 콘솔 서비스 종료와 같은 Windows 그래픽 작업을 관리하기 위한 합법적인 사용자 프로세스입니다. 이를 맬웨어와 혼동하는 것은 매우 일반적입니다. 이를 종료하면 시스템에 치명적일 수 있으므로 충돌이 발생할 수 있습니다.

바이러스 탐지: 다른 프로그램과 마찬가지로 "C:\Windows\System32" , csrss.exe는 백그라운드에서 조용히 유지되며 CrowdInspect에서 하나 또는 두 개의 인스턴스만 찾을 수 있습니다. 의심스러운 파일에는 잘못된 디지털 서명이 포함되며 저작권 세부 정보가 손실됩니다.

행동: csrss.exe는 악성 보안 소프트웨어 회사 및 기술 사기꾼이 장치가 감염되었다는 "증거"로 자주 사용합니다. 이것은 실제 맬웨어가 아니므로 잘못된 기술 조언으로 인해 현재 프로세스를 종료해서는 안 됩니다.

9. GoogleCrashHandler.exe 파일

Windows 시스템에 Google 크롬을 비롯한 Google 프로그램이 있는 경우 Google 업데이터 패키지의 일부인 GoogleCrashHandler.exe라는 실행 파일을 찾을 수 있습니다. 이것은 Windows의 중요한 구성 요소가 아니며 안전하고 쉽게 제거할 수 있지만 항상 악성 소프트웨어인 것은 아닙니다.

바이러스 탐지: Google CrashHandler.exe의 디지털 서명이 유효하지 않은 경우, 즉 Google에서 서명하지 않은 경우 정상 작동이 안전하기 때문에 스파이웨어 또는 루트킷 감염의 가능한 징후를 찾고 있습니다.

행동: 항상 맬웨어는 아니지만 시스템의 작업 관리자에서 GoogleCrashHandler.exe의 일부 또는 모든 인스턴스를 제거합니다. 충돌 보고서를 Google에 보내지 않는 한 불필요하게 CPU에 과부하를 주고 싶지는 않을 것입니다.

10. 스풀v.exe

Spoolsv.exe는 글꼴과 그래픽을 프린터 하드웨어 및 모든 가상 프린터로 변환하는 인쇄 스풀러 서비스와 통합된 기본 Windows 프로세스입니다. 이것은 MS-DOS가 시작된 이래로 존재해 온 핵심 Windows 프로세스입니다. spoolsv.exe 프로세스에 대한 유효한 항목을 종료하면 장치에 오류가 발생하고 시스템이 다시 시작됩니다.

바이러스 탐지: 일부 맬웨어처럼 보이지만 spoolsv.exe는 안전하고 합법적인 Windows용 프로세스입니다. 추가 프로세스에는 Microsoft의 디지털 서명이 없습니다. 맬웨어 작성자가 유사한 이름을 사용하여 시스템을 대상으로 하는 경우 Windows Defender에서 경고해야 합니다.

행동: spoolsv.exe 프로세스가 Microsoft 디지털 서명으로 검증된 경우 조치를 취하지 않아야 합니다. 그렇지 않으면 작업 관리자로 이동하여 프로세스를 종료하십시오.

11. 작업 관리자

Windows 작업 관리자(taskmgr.exe)는 모든 기본 Windows 프로세스와 응용 프로그램을 제어하는 ​​매우 중요한 프로그램입니다. 이 루트 프로그램과 그 파생물(예: taskhostw.exe)을 끄면 시스템에 치명적일 수 있으며 맬웨어 작성자는 이를 알고 있습니다.

바이러스 탐지: 작업 관리자와 관련된 프로그램이 제대로 작동하지 않는다고 생각되면 파일 위치를 확인하십시오. "C:\Windows\System32". 장치를 다시 시작하여 문제가 해결되었는지 확인하십시오. 작업 관리자의 의심스러운 인스턴스가 지속되면 가능한 맬웨어를 검사합니다. 또 다른 표시는 유효하지 않은 그의 디지털 서명입니다.

행동: 모두 지정 가능 "작업 관리자" – 실행 파일처럼 – 맬웨어에 감염되어 작업 관리자 자체에서 종료됩니다. 그러나 Windows 10에서 TaskSchedulerHelper.dll 오류가 발생하면 표시된 대로 수정 단계를 수행하십시오.

요약: Windows 프로세스와 유사한 맬웨어의 경고 신호

다음은 표준 Windows 시스템 프로세스와 유사한 의심스러운 프로세스를 처리하는 방법에 대한 간략한 요약입니다. 맬웨어를 처리할 수도 있고 처리하지 않을 수도 있지만 이러한 경고 신호를 추적하는 것이 중요합니다.

• 올바른 저작권에 대한 앱 속성 세부 정보 확인: Windows 11 및 Windows 10의 모든 프로그램에는 파일 위치가 있습니다. 거기에서 당신은 액세스할 수 있습니다 "세부사항" 탭에서 "속성". 저작권이 Windows, TrustedInstaller 또는 Google, Intel, NVIDIA 등과 같은 합법적인 프로세스 소유자에게 있는지 확인하십시오. 그렇지 않은 경우 시스템에서 제거해야 하는 맬웨어의 가능한 소스를 찾고 있습니다.
• Windows Process 프로그램의 CPU 사용량 확인: 여러 시스템이 함께 작동할 때 Windows CPU 사용량이 급증하는 것은 정상입니다. 그러나 시스템 속도를 늦추는 동일한 소프트웨어의 많은 인스턴스가 우려의 원인입니다. 불필요한 프로그램은 식별하여 즉시 종료해야 합니다.
• 의심스러운 Windows 프로세스에서 디지털 서명을 확인합니다. 이것은 프로세스를 검증하는 가장 중요하고 쉬운 방법입니다. 프로세스의 디지털 서명이 유효하지 않고 신뢰할 수 있는 소스에서 제공되지 않은 경우 맬웨어일 가능성이 높습니다.
• 의심스러운 프로세스의 파일 위치 확인: 대부분의 Windows 파일 프로세스는 컴퓨터에서 잘 정의된 위치에 있습니다. 다음 중 하나일 수 있습니다. "C:\Windows\System32" , 프로그램 파일 또는 잘 정의된 다른 위치. 가능한 맬웨어를 나타내므로 드라이브 D와 같은 다른 영역에서 이 프로세스의 인스턴스를 찾지 않아야 합니다.

자주 묻는 질문

Q 1. 특정 Windows 프로세스가 이미 악성인 경우 어떻게 해야 합니까?
답변. 합법적인 Windows 프로세스는 시스템을 손상시킬 수 없습니다. 그러나 맬웨어를 포함하는 이러한 프로세스의 중복 인스턴스가 있는 경우 CrowdInspect로 이동하여 프로세스를 마우스 오른쪽 단추로 클릭한 다음 "프로세스 종료". Windows Defender가 실행 중인 경우 이러한 맬웨어 인스턴스를 처리합니다. 이유를 알아 보려면 읽어보십시오. Windows Defender는 필요한 유일한 바이러스 백신입니다..

Q2. 유효한 Windows 프로세스가 종료되면 어떤 일이 발생하며 어떻게 복구합니까?
답변. 유효한 Windows 프로세스를 실수로 종료한 경우 프로세스가 시스템에 얼마나 중요한지에 따라 결과가 달라집니다. 불필요한 소프트웨어 프로세스인 경우 Windows 시스템에 영향을 미치지 않습니다.

winlogon.exe 및 csrss.exe와 같은 영향력이 큰 프로세스의 경우 Windows에는 우발적인 종료를 방지하는 기본 제공 메커니즘이 있습니다. 그러나 계속해서 작업 관리자에서 시스템을 종료하려고 하면 장치가 자체적으로 종료되어 재부팅이 필요합니다. 최악의 경우 멜트다운(meltdown)으로 인한 완전한 정전 및 영구적인 손상으로 이어질 수 있습니다.

영향이 적은 프로세스가 Windows의 예정된 시작 및 유지 관리에 필수적인 경우 시스템은 심각한 오류를 보고하고 자동으로 끕니다. 시작 후 , 문제가 사라집니다.