Código malicioso: como sobrevivir de forma silenciosa (I)
Durante los próximos días, vamos a comentar diferentes técnicas que utilizan los códigos maliciosos para permanecer de forma oculta en un sistema. Existen diferentes formas para ser lo más silencioso posible, y es éste uno de los principales objetivos de cualquier malware existente en Internet (su supervivencia va en ello); es lo que comúnmente se denomina stealth malware.
Pensemos un momento en las tres principales medidas que es probable encontrar en una máquina con Microsoft Windows:
¿Cómo se puede deshabilitar estas opciones? Pues como casi todo en Windows, modificando el registro de Windows. En concreto existen tres entradas que se encargan de notificar cuando se desactiva cualquiera de estas opciones. La ruta exacta es 'HKLM\Software\Microsoft\Security Center', y allí existen tres claves: UpdatesDisableNotify, AntivirusDisableNotify, FirewallDisableNotify, que como su nombre indica, realizan las operaciones que hemos comentado.
Así, poniendo estos valores a '1', se evita que nos demos cuenta de estas modificaciones en nuestro sistema.
Fuente: http://blog.s21sec.com/2007/09/cdigo-malicioso-como-sobrevivir-de.html
Pensemos un momento en las tres principales medidas que es probable encontrar en una máquina con Microsoft Windows:
- Utilización de Windows Update para la actualización del sistema operativo
- Utilización del cortafuegos que viene por defecto
- Utilización de un antivirus
- Deshabilitar Windows Update es poco común, puesto que muchas veces es más interesante proteger la máquina que ya se posee y que no pueda ser adquirida por ningún competidor, pero aún así, muchas veces se puede observar esta acción.
- Deshabilitar un cortafuegos puede ser más eficiente si dejamos alguna puerta trasera (algún puerto escuchando para acceso remoto), en vez de dar de alta este proceso en el cortafuegos de Windows (fácil de detectar).
- Deshabilitar un antivirus es bastante común (o deshabilitar su actualización), puesto que un código malicioso que no sea detectado en ese momento, no impide que no sea detectado en la siguiente actualización del antivirus.
¿Cómo se puede deshabilitar estas opciones? Pues como casi todo en Windows, modificando el registro de Windows. En concreto existen tres entradas que se encargan de notificar cuando se desactiva cualquiera de estas opciones. La ruta exacta es 'HKLM\Software\Microsoft\Security Center', y allí existen tres claves: UpdatesDisableNotify, AntivirusDisableNotify, FirewallDisableNotify, que como su nombre indica, realizan las operaciones que hemos comentado.
Así, poniendo estos valores a '1', se evita que nos demos cuenta de estas modificaciones en nuestro sistema.Fuente: http://blog.s21sec.com/2007/09/cdigo-malicioso-como-sobrevivir-de.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!