Proceso imparable sin rootkits ni parecidos [By H-BlacK]
Bien ,este tutorial es bastante simple de un bug (bug porque se supone que sólo los procesos con esos nombres de Windows deberían tener esa propiedad) que acabo de descubrir con el administrador de tareas.
Un ejecutable con los siguientes nombres:
lsass.exe
csrss.exe
services.exe
winlogon.exe
smss.exe
Ante Windows XP (el administrador de tareas,tasklist y taskkill,algunos gestores de procesos) es indetenible y por lo tanto no lo puede cancelar,la única solucion es detener el proceso con un programa hecho a bajo nivel,como por ejemplo un gestor de procesos en ASM,esta información es bastante útil para el desarrollo de troyanos,virus y keyloggers sin necesidad de rootkits,al copiarse por ejemplo a %systemroot% es muy probable que el archivo pase desapercibido,y por el hecho de estar en ejecución da dificultad para ser eliminado.
Tambien otro nombre interesante es svchost.exe,el proceso que pasa mas inadvertido por su multiple ejecución.
Saludos
PD: Esta información fué tomada del virus que se propaga por USB Knight .exe,ya que usa esos nombres para evitar que maten su proceso.
Un ejecutable con los siguientes nombres:
lsass.exe
csrss.exe
services.exe
winlogon.exe
smss.exe
Ante Windows XP (el administrador de tareas,tasklist y taskkill,algunos gestores de procesos) es indetenible y por lo tanto no lo puede cancelar,la única solucion es detener el proceso con un programa hecho a bajo nivel,como por ejemplo un gestor de procesos en ASM,esta información es bastante útil para el desarrollo de troyanos,virus y keyloggers sin necesidad de rootkits,al copiarse por ejemplo a %systemroot% es muy probable que el archivo pase desapercibido,y por el hecho de estar en ejecución da dificultad para ser eliminado.
Tambien otro nombre interesante es svchost.exe,el proceso que pasa mas inadvertido por su multiple ejecución.
Saludos
PD: Esta información fué tomada del virus que se propaga por USB Knight .exe,ya que usa esos nombres para evitar que maten su proceso.
0 comentarios:
Publicar un comentario