TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

Malwares Utilizando Serviços Do Windows

Monografias: Malwares Utilizando Serviços Do Windows. Pesquise 861.000+ trabalhos acadêmicos

Por:   •  7/6/2014  •  528 Palavras (3 Páginas)  •  271 Visualizações

Página 1 de 3

Um das formas que os malwares se executam, é instalando-o como serviço no Windows. Até o momento, eu nunca analise um vírus 100% BR se instalando como serviço, mas já analisei outros utilizando este mecanismo.

O Windows permite que tarefas sejam executadas sem os seus próprios processos ou threads, usando os serviços que são executados como aplicações em background.

Executar como serviço, pode ter muitas vantagens e uma delas é que os serviços são normalmente executados com a conta interna SYSTEM ou com outra conta com privilégios elevados. Só para ter uma ideia, a conta SYSTEM tem mais privilegio que o próprio administrador, é mole!!!

Serviços podem manter uma persistência no Windows, pois eles podem ser configurados para serem executados todas as vezes que o sistema operacional é iniciado, e às vezes, é complicado de visualizar e identificar um processo legítimo ou o processo que o malware está utilizando no Gerenciador de Tarefas em uma analise de malware.

Os serviços podem ser instalados e manipulados por algumas APIs do Windows que são os principais alvos dos malwares, e algumas das principais funções são:

OpenSCManager – Estabelece uma conexão com o Service Control Manager que é usado para todas as chamadas relacionados ao serviço.

Ref.: http://msdn.microsoft.com/en-us/library/windows/desktop/ms684323(v=vs.85).aspx

CreateService – Adiciona um novo serviço para o Service Control Manager, e permite especificar se o serviço será iniciado automaticamente ou manualmente.

Ref.: http://msdn.microsoft.com/en-us/library/windows/desktop/ms682450(v=vs.85).aspx

StartService – Iniciar um serviço, é usado somente se o serviço que está configurado para ser iniciado manualmente.

Ref.: http://msdn.microsoft.com/en-us/library/windows/desktop/ms686321(v=vs.85).aspx

O Windows suporta vários tipos de serviços e um dos mais comuns usados pelos malwares é o “WIN32_SHARE_PROCESS” onde o código do serviço fica em uma DLL e no Gerenciador de Tarefas, você pode encontrar várias instancias do processo que se chama svchost.exe, que está executando o serviço do tipo “WIN32_SHARE_PROCESS”.

O serviço do tipo “WIN32_OWN_PROCESS” também é usado, pois ele armazena o código em um arquivo do tipo “exe” completamente independente.

Existe também o serviço do tipo “Kernel_Drive” para executar o código no Kernel do sistema operacional, mas neste artigo, infelizmente eu não irei entrar em detalhes e quem sabe em um futuro artigo né?

As informações dos serviços no Windows podem ser encontradas em cada subchave do registro a seguir: HKLM\SYSTEM\CurrentControlSet\Services

Exemplo: O código para o serviço “Adobe Acrobat Update Service” é armazenado:

C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O serviço é do tipo 0×10 que corresponde “WIN32_OWN_PROCESS”

A inicialização está com o valor 0×02 que significa

...

Baixar como (para membros premium)  txt (4 Kb)  
Continuar por mais 2 páginas »
Disponível apenas no TrabalhosGratuitos.com