Malwares Utilizando Serviços Do Windows
Monografias: Malwares Utilizando Serviços Do Windows. Pesquise 862.000+ trabalhos acadêmicosPor: vinakano • 7/6/2014 • 528 Palavras (3 Páginas) • 275 Visualizações
Um das formas que os malwares se executam, é instalando-o como serviço no Windows. Até o momento, eu nunca analise um vírus 100% BR se instalando como serviço, mas já analisei outros utilizando este mecanismo.
O Windows permite que tarefas sejam executadas sem os seus próprios processos ou threads, usando os serviços que são executados como aplicações em background.
Executar como serviço, pode ter muitas vantagens e uma delas é que os serviços são normalmente executados com a conta interna SYSTEM ou com outra conta com privilégios elevados. Só para ter uma ideia, a conta SYSTEM tem mais privilegio que o próprio administrador, é mole!!!
Serviços podem manter uma persistência no Windows, pois eles podem ser configurados para serem executados todas as vezes que o sistema operacional é iniciado, e às vezes, é complicado de visualizar e identificar um processo legítimo ou o processo que o malware está utilizando no Gerenciador de Tarefas em uma analise de malware.
Os serviços podem ser instalados e manipulados por algumas APIs do Windows que são os principais alvos dos malwares, e algumas das principais funções são:
OpenSCManager – Estabelece uma conexão com o Service Control Manager que é usado para todas as chamadas relacionados ao serviço.
Ref.: http://msdn.microsoft.com/en-us/library/windows/desktop/ms684323(v=vs.85).aspx
CreateService – Adiciona um novo serviço para o Service Control Manager, e permite especificar se o serviço será iniciado automaticamente ou manualmente.
Ref.: http://msdn.microsoft.com/en-us/library/windows/desktop/ms682450(v=vs.85).aspx
StartService – Iniciar um serviço, é usado somente se o serviço que está configurado para ser iniciado manualmente.
Ref.: http://msdn.microsoft.com/en-us/library/windows/desktop/ms686321(v=vs.85).aspx
O Windows suporta vários tipos de serviços e um dos mais comuns usados pelos malwares é o “WIN32_SHARE_PROCESS” onde o código do serviço fica em uma DLL e no Gerenciador de Tarefas, você pode encontrar várias instancias do processo que se chama svchost.exe, que está executando o serviço do tipo “WIN32_SHARE_PROCESS”.
O serviço do tipo “WIN32_OWN_PROCESS” também é usado, pois ele armazena o código em um arquivo do tipo “exe” completamente independente.
Existe também o serviço do tipo “Kernel_Drive” para executar o código no Kernel do sistema operacional, mas neste artigo, infelizmente eu não irei entrar em detalhes e quem sabe em um futuro artigo né?
As informações dos serviços no Windows podem ser encontradas em cada subchave do registro a seguir: HKLM\SYSTEM\CurrentControlSet\Services
Exemplo: O código para o serviço “Adobe Acrobat Update Service” é armazenado:
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O serviço é do tipo 0×10 que corresponde “WIN32_OWN_PROCESS”
A inicialização está com o valor 0×02 que significa
...