Windows 프로세스는 PC 또는 랩톱의 적절한 실행에 중요한 역할을 합니다. csrss.exe 및 winlogon.exe와 같은 일부는 매우 중요하므로 실수로 종료하기로 결정하면 장치가 충돌할 수 있습니다. 맬웨어 작성자는 이러한 중요성을 이용하여 정상적인 Windows 시스템을 감염시킵니다. 바이러스, 애드웨어, 스파이웨어 및 트로이 목마는 표준 Windows 시스템 프로세스의 이름을 따서 명명된 경우에도 무엇이든 레이블이 지정될 수 있다는 전제입니다.
다음은 이름을 딴 맬웨어로 자주 혼동되는 몇 가지 주요 Windows 11 및 10 프로세스입니다. 시스템에 가짜가 표시되는 경우 이를 식별하는 방법을 알아보세요.
Windows 프로세스가 합법적인지 확인하는 방법
Windows 프로세스가 합법적인지 또는 맬웨어 소스인지 확인하는 두 가지 방법이 있습니다. 응용 프로그램 속성을 통해 그리고 CrowdStrike의 CrowdInspect와 같은 외부 도구를 사용하는 것입니다.
1. 속성을 통해 Windows 프로세스의 합법성 확인
모든 승인된 Windows 프로세스 파일은 Microsoft Corporation, 공식 프로그램/앱 개발자 또는 WindowsApps와 같은 폴더를 관리하는 TrustedInstaller.exe와 같은 기본 제공 Microsoft 계정에 연결됩니다.
Windows 11 또는 10 프로세스가 합법적이고 맬웨어의 출처가 아닌지 확인하려면 응용 프로그램 속성에서 내부를 살펴봐야 합니다. "세부 정보" 탭으로 이동하여 프로세스의 공식 저작권 소유자를 찾으십시오. Microsoft, 앱 개발자 또는 TrustedInstaller라면 가셔도 좋습니다.
또한 Windows 11/10에서는 프로세스 속성의 "디지털 서명" 탭을 확인할 수 있습니다. 여기에 최신 타임스탬프가 포함된 공식 디지털 서명이 있어 추가 보증을 제공합니다.
이러한 프로세스에 대한 드라이버에 서명하려면 표준 Microsoft 권한이 필요하므로(또한 UEFI 보안 부팅으로 장치 루트에 대한 무단 액세스가 방지됨) 이제 맬웨어 작성자가 Windows 11에서 디지털 서명을 위조하는 것이 불가능합니다.
"services.exe" 또는 "svchost.exe"와 같이 일상적인 것부터 매우 중요한 것까지 모든 Windows 11 프로세스는 타임스탬프로 디지털 서명됩니다. Windows 업데이트가 성공할 때마다 이 인증이 다시 확인됩니다.
반면에 Windows 10 프로세스 속성에는 디지털 서명 탭이 완전히 없을 수 있습니다. 또한 일부 프로세스에서는 저작권 정보가 올바르게 표시되지 않을 수 있습니다.
그러나 Windows 10에서도 Winlogon.exe와 같은 미션 크리티컬 내부 시스템 프로세스는 항상 이 정보를 표시합니다. 다른 방법을 통해 소프트웨어 정품 여부를 확인할 수 있습니다. 또한 Windows 10 또는 11에 서명되지 않은 드라이버를 설치하면 이후 재부팅 시 디지털 서명이 표시되지 않습니다.
2. CrowdInspect를 사용하여 Windows 프로세스의 합법성 확인
Windows 10 및 Windows 11 모두에서 외부 소프트웨어 응용 프로그램인 CrowdStrike의 CrowdInspect를 통해 프로세스 파일의 신뢰성을 확인할 수 있습니다. CrowdInspect는 VirusTotal과 같은 탐지 엔진을 사용하여 백그라운드 맬웨어를 검사하는 무료 호스트 기반 실시간 프로세스 검사 도구입니다.
- 공식 링크에서 CrowdInspect ZIP 파일을 다운로드하고 압축을 푼 프로그램을 클릭하여 실행합니다. 아무것도 설치할 필요가 없습니다.
- 라이선스 계약에 동의하고 Windows 장치의 모든 백그라운드 프로세스에 대한 하이브리드 분석을 수행할 수 있는 화면으로 이동합니다. 내장 API 키를 사용하고 "확인"을 클릭합니다.
- CrowdInspect가 Windows 기기의 전체 백그라운드 프로그램 및 프로세스 세트로 화면을 채울 때까지 기다립니다.
색상 기호를 통해 프로그램의 상태를 확인할 수 있습니다. 깨끗한 항목은 녹색 아이콘으로 표시됩니다. 의심이 가는 경우 아이콘 옆에 물음표가 표시됩니다. 심각도가 낮은 위협 항목에는 노란색 아이콘이 있습니다. 심각도가 높은 항목은 빨간색 아이콘으로 표시됩니다. 기기가 정상이면 노란색 또는 빨간색 아이콘이 표시되지 않습니다.
- 멀웨어 문제가 없는지 추가로 확인하려면 프로세스를 마우스 오른쪽 버튼으로 클릭하고 "HA 테스트 결과 보기"를 클릭합니다. 어떤 오류도 발견하지 못할 것입니다. 이는 악성코드를 다루고 있지 않다는 안전한 표시입니다.
맬웨어와 유사한 일반적인 Windows 11/10 프로세스 목록
1. 탐색기.exe
범용 Windows 파일 탐색기 프로그램인 explorer.exe는 작업 표시줄과 바탕 화면에서 쉽게 액세스할 수 있습니다. 주요 목적은 Windows 11/10 장치의 모든 파일 및 폴더에 대한 파일 관리자 역할을 하는 것입니다. 그 중요성 때문에 explorer.exe 프로그램은 공격자가 가장 좋아하는 대상입니다.
바이러스 감지 :explorer.exe 악성코드는 일반적으로 트로이 목마, 랜섬웨어(특히 이메일) 및 Adobe Flash 파일로 나타납니다. 합법적인 프로그램은 항상 "C:\Windows"에 있으며 중복 프로그램은 D 드라이브, Program Files, 숨김 폴더 또는 기타 PC 위치에 나타날 수 있습니다.
액션 :장치에 explorer.exe 인스턴스가 2~3개 있는 경우 모두 유효한 디지털 서명과 위치가 있는 한 걱정할 필요가 없습니다. CPU를 사용하는 프로세스가 여러 개 있는 경우 CrowdInspect에서 가짜 프로세스를 식별한 다음 마우스 오른쪽 버튼을 클릭하여 "프로세스 종료"를 클릭합니다.
2. lsass.exe
lsass.exe는 Windows 사용자 인증 뒤에서 진행되는 Local Security Authority Subsystem Service의 약자입니다. 멀웨어를 제외하고 원래 프로세스를 종료하면 안 됩니다. 시스템이 관리자 및 로컬 계정에 대한 액세스 권한을 상실하여 장치를 다시 시작해야 하기 때문입니다.
바이러스 감지 :맬웨어 작성자가 lsass를 가장하는 일반적인 방법은 대문자 "l"을 대문자 "i"로 바꾸거나 대문자 "L"로 바꾸는 것입니다. 의도적인 맞춤법 오류에 주의하세요. 또한 "C:\Windows\System32" 폴더 외부에 있는 유효하지 않은 디지털 서명 및 파일은 명백한 선물입니다.
액션 :작업 관리자에서 가짜 lsass 프로세스를 종료합니다. "l"인지 "i"인지 확실하지 않은 경우 CrowdInspect에서 동일한 작업을 수행합니다. 여러 유효한 lsass 인스턴스는 문제가 없으며 변조해서는 안 됩니다.
3. RuntimeBroker.exe
RuntimeBroker.exe는 Microsoft Store에서 다운로드한 모든 앱에 대한 권한을 관리하는 안전한 Microsoft 프로세스입니다. 사진 앱과 같은 프로그램의 진위 여부를 확인합니다. Windows 장치에 속하지 않는 앱이 있는 경우 런타임 브로커는 많은 추가 메모리를 사용하여 경고합니다.
바이러스 감지 :Windows 장치가 RuntimeBroker.exe 바이러스에 감염된 경우 "C:\Windows\System32"가 아닌 다른 PC 위치에 존재합니다. 프로그램이 합법적이지 않기 때문에 메모리 누수가 급증하여 CPU에 부담을 줍니다. 또한 가짜 인스턴스에 대해 유효하지 않은 디지털 서명이 있음을 알 수 있습니다.
액션 :작업 관리자를 엽니다. Runtime Broker의 여러 유효한 인스턴스를 클릭하고 "작업 끝내기"를 클릭합니다. 이렇게 하면 지정된 앱의 모든 문제가 종료됩니다. 가짜 RuntimeBroker.exe 항목의 경우 CrowdInspect에서 종료하십시오.
4. Winlogon.exe
Windows 백그라운드 프로세스와 관련하여 winlogon.exe보다 중요한 것은 없습니다. 로그인 프로세스를 제어할 뿐만 아니라 사용자 프로필을 로드하고 화면 보호기를 제어하며 여러 네트워크와 연결합니다. "C:\Windows\System32"에 있습니다.
바이러스 감지 :일반적으로 스파이웨어 또는 키로거 도구인 winlogon.exe는 시스템 충돌을 일으킬 수 있는 매우 위험한 맬웨어이며 인식하기 쉽습니다. Windows Defender가 켜져 있는 경우 파일을 즉시 삭제하고 사용된 모든 벡터(이메일, 웹 브라우저)를 종료하라는 경고가 표시됩니다.
액션 :안전한 winlogon.exe 실행 파일은 CrowdInspect에서 둘 이상의 인스턴스를 갖지 않습니다. 다른 가짜 인스턴스는 Windows Defender 제안을 사용하여 도착 시 삭제해야 합니다.
5. Svchost.exe
Svchost.exe는 다양한 Windows 서비스를 로드하기 위한 셸 역할을 하는 공유 서비스 프로세스인 Windows "서비스 호스트"를 나타냅니다. 열려 있는 응용 프로그램의 수에 따라 일반적으로 개별 프로세스로 실행되는 많은 svchost.exe 인스턴스가 있습니다.
바이러스 감지 :중복 프로세스나 "svhosts.exe"와 같은 철자 변형으로 차단된 보호된 폴더나 프로그램을 발견하면 svchost.exe 맬웨어 에피소드를 보게 됩니다. 대부분 랜섬웨어 또는 은행 사기 도구입니다. 소스 벡터에는 PDF 파일, ZIP 파일 및 JavaScript가 포함됩니다.
액션 :이 트로이 목마는 일반적으로 낮은 수준의 위협이지만 가능한 한 빨리 제거해야 합니다. 표준 바이러스 백신 도구와 Windows Defender는 "C:\Windows\System32"에 없는 모든 서비스 호스트 인스턴스를 삭제할 수 있도록 갖추고 있습니다.
6. OfficeClickToRun.exe
Word, Excel 또는 PowerPoint와 같은 Office 도구를 사용해 왔다면 OfficeClickToRun.exe라는 실행 파일을 접했을 것입니다. 그 작업은 장치에서 최신 Microsoft Office 버전을 실행하고 업데이트를 처리하는 것입니다. 맬웨어가 아니더라도 OfficeClickToRun.exe는 CPU에서 메모리를 많이 사용합니다. 하지만 주기적으로 임시 파일을 삭제하면 부담이 훨씬 덜합니다.
바이러스 감지 :Microsoft Shared 폴더의 Program Files 이외의 다른 위치에 실행 파일이 있습니까? 추가 파일이 시스템에 적합하지 않습니다. 또한 Windows 장치에는 OfficeClickToRun.exe 인스턴스가 하나만 실행 중이어야 합니다. 다른 사람의 디지털 서명을 확인하십시오.
액션 :그 자체로는 해롭지 않지만 OfficeClickToRun.exe의 가짜 인스턴스는 시스템 메모리를 막을 수 있습니다. 일반적으로 감염된 파일과 문서를 통해 들어오므로 즉시 삭제해야 합니다.
7. igfxem.exe
igfxEM.exe는 인텔 그래픽 카드를 관리하는 데 중요하므로 비디오 카드 디스플레이에 매우 중요한 잘 알려지지 않은 백그라운드 프로세스입니다. 기기에 사전 설치된 상태로 제공되며 시스템에 전혀 부담을 주지 않으므로 그대로 두어야 합니다.
바이러스 감지 :igfxEM의 인스턴스가 두 개 이상 있는 경우(및 표시된 철자 오류) 해당 디지털 서명의 유효성을 검사합니다. Intel과 Microsoft가 표시되면 멀웨어가 없는 것입니다. 그렇지 않으면 정품 igfxEM 파일이 없으므로 해당 프로세스를 제거해야 합니다.
액션 :여러 Intel 인스턴스가 있는 경우에도 유효한 디지털 서명이 있으면 아무 조치도 취해서는 안 됩니다. 원래 인텔 그래픽 카드가 손상된 것 같으면 시작 메뉴의 "devmgmt.msc", 장치 관리에서 드라이버를 다시 설치해 보십시오.
8. CSS.exe
Csrss.exe는 GUI 종료 및 시스템 콘솔 서비스와 같은 Windows 그래픽 활동을 관리하기 위한 합법적인 사용자 프로세스인 Client Server Runtime Subsystem을 나타냅니다. 맬웨어로 오인되는 경우가 많습니다. 종료하면 시스템에 치명적일 수 있으며 확실한 충돌로 이어질 수 있습니다.
바이러스 감지 :"C:\Windows\System32"의 다른 프로그램과 마찬가지로 csrss.exe는 백그라운드에서 조용히 유지되며 CrowdInspect에서 한두 개의 인스턴스만 찾을 수 있습니다. 의심스러운 파일에는 잘못된 디지털 서명과 저작권 세부 정보가 누락됩니다.
액션 :csrss.exe는 악성 보안 소프트웨어 회사와 기술 사기꾼이 장치가 감염되었다는 "증명"으로 자주 사용됩니다. 이것은 실제 악성코드가 아니므로 잘못된 기술 조언으로 인해 기존 프로세스를 종료하지 마십시오.
9. GoogleCrashHandler.exe
Google Chrome을 포함하여 Windows 장치에 Google 프로그램이 있는 경우 Google 업데이터 패키지의 일부인 GoogleCrashHandler.exe라는 실행 파일을 찾을 수 있습니다. 이것은 중요한 Windows 구성 요소가 아니며 안전하고 쉽게 제거할 수 있지만 항상 맬웨어는 아닙니다.
바이러스 감지 :Google CrashHandler.exe의 디지털 서명이 유효하지 않은 경우, 즉 Google에서 서명하지 않은 경우 정상적인 프로세스가 안전하므로 스파이웨어 또는 루트킷 감염 가능성을 조사합니다.
액션 :항상 멀웨어가 아니더라도 시스템 작업 관리자에서 GoogleCrashHandler.exe의 일부 또는 모든 인스턴스를 제거합니다. Google에 충돌 보고서를 보내지 않으려면 CPU에 불필요하게 부담을 주고 싶지 않습니다.
10. Spoolsv.exe
Spoolsv.exe는 인쇄 스풀러 서비스와 통합된 정품 Windows 프로세스로 글꼴과 그래픽을 프린터 하드웨어 및 모든 가상 프린터로 변환합니다. 이것은 MS-DOS 초기부터 존재했던 핵심 Windows 프로세스입니다. 유효한 spoolsv.exe 프로세스 항목을 종료하면 시스템 오류가 발생하고 시스템이 재부팅됩니다.
바이러스 감지 :일부 맬웨어와 유사하지만 spoolsv.exe는 안전한 합법적인 Windows 프로세스입니다. 모든 추가 프로세스에는 Microsoft의 디지털 서명이 없습니다. 맬웨어 작성자가 유사한 이름을 사용하여 시스템을 대상으로 지정하는 경우 Windows Defender에서 이를 알려야 합니다.
액션 참고:spoolsv.exe 프로세스가 Microsoft 디지털 서명으로 검증된 경우 아무 조치도 취하지 않아야 합니다. 그렇지 않으면 작업 관리자로 이동하여 프로세스를 종료하세요.
11. 작업 관리자
Windows 작업 관리자(taskmgr.exe)는 모든 핵심 Windows 프로세스와 응용 프로그램을 제어하는 매우 중요한 프로그램입니다. taskhostw.exe와 같은 필수 프로그램과 파생 상품을 종료하면 시스템에 치명적일 수 있으며 맬웨어 작성자는 이를 인지하고 있습니다.
바이러스 감지 :작업관리자 관련 프로그램이 제대로 동작하지 않는다고 생각되면 파일 위치를 확인하십시오. "C:\Windows\System32"에 있어야 합니다. 장치를 다시 시작하여 문제가 사라졌는지 확인하십시오. 의심스러운 작업 관리자 인스턴스가 계속되면 잠재적인 악성 코드를 살펴봅니다. 또 다른 기호는 유효하지 않은 디지털 서명입니다.
액션 :맬웨어에 감염된 모든 "작업 관리자"와 유사한 실행 파일을 식별하고 작업 관리자 자체에서 종료할 수 있습니다. 그러나 Windows 10에서 TaskSchedulerHelper.dll 오류가 발생하면 표시된 대로 수정 조치를 취하십시오.
요약:Windows 프로세스와 유사한 악성 코드의 경고 신호
다음은 표준 Windows 시스템 프로세스와 유사한 의심스러운 프로세스를 처리하는 방법에 대한 간략한 요약입니다. 맬웨어를 처리할 수도 있고 처리하지 않을 수도 있지만 이러한 경고 신호를 추적하는 것이 중요합니다.
- 올바른 저작권에 대한 애플리케이션 속성 세부정보 확인 :Windows 11 및 Windows 10의 모든 프로그램에는 파일 위치가 있습니다. 여기에서 속성 탭의 "세부 정보"에 액세스할 수 있습니다. 저작권이 Windows, TrustedInstaller 또는 Google, Intel, NVIDIA 등과 같은 합법적인 프로세스 소유자에게 있는지 확인하십시오. 그렇지 않은 경우 시스템에서 제거해야 하는 잠재적인 맬웨어 소스를 찾고 있습니다.
- Windows Process 프로그램의 CPU 사용량 확인 :여러 시스템이 함께 실행될 때 Windows CPU 사용량이 급증하는 것은 정상입니다. However, many instances of the same program slowing down the system is a cause of concern. The unnecessary programs should be identified and shut down immediately.
- Check the suspicious Windows processes for digital signatures :this is the most important and easiest way to validate the authenticity of a process. If the digital signature of a process is invalid and does not come from trusted sources, then there is a good chance it is malware.
- Check the file location of suspicious processes :most Windows file processes have a well-defined location on your PC. It can either be “C:\Windows\System32,” the Program Files, or some other well-defined location. You should not find instances of this process in other areas, such as D drive, as it indicates the chance of malware.
자주 묻는 질문(FAQ)
1. What should be done if a certain Windows process is indeed harmful?
No legitimate Windows process can harm your system. However, if there are duplicate instances of such processes that contain malware, go to CrowdInspect, right-click that process, and click “Kill Process.” If you have Windows Defender turned on, it will take care of such malware instances. Also read on to learn why Windows Defender is the only antivirus you need.
2. What happens when you terminate a valid Windows process and how do you recover from there?
If you accidentally terminate a valid Windows process, the consequences will depend on how critical the process is for your system. If it’s a non-critical software process, there will be no impact on a Windows device.
For high impact processes such as winlogon.exe and csrss.exe, Windows has a built-in mechanism to prevent their accidental termination. However, if you persist and try to end the system from task manager, your device will power off on its own, requiring a restart. In the worst case, it can lead to a complete blackout and permanent damage due to crash.
If it’s a low impact process integral to the scheduled operation and maintenance of Windows, then the system will report a critical failure and automatically shut down. After a startup, the problem will be gone.