Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
23 de Diciembre, 2014    General

Seguridad en el arranque de Windows. Parte 6 de 9



Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, que comenzamos el pasado verano, tratando el paso 5 de 8 dentro de nuestra clasificación y que se corresponde con el inicio del explorer.

En el pasado post de la cadena hablamos de Winlogon y de cómo se encargaba de arrancar Explorer.exe e iniciar Userinit.exe. Hoy veremos qué es Explorer.exe y cómo se inicia en el sistema.

Explorer.exe es el administrador de archivos de Windows, uno de los procesos fundamentales del sistema operativo de Microsoft, y cuya misión principal es administrar el equipo y gestionar la interfaz del sistema operativo (escritorio, menús, barra de tareas, etc.)

Este proceso es creado con las credenciales y permisos del usuario autenticado. Por ello se levanta después de GINA, como ya vimos en post anteriores de la cadena.

El resto de procesos levantados en el sistema a continuación heredan de explorer.exe, por lo que es un proceso "muy deseado" por el malware para inyectarse en él, y hacerse permanente. Ya os hemos mostrado en sendas ocasiones desde Flu Project cómo utilizar meterpreter para inyectaros en otros procesos de una máquina de la que ha sido tomado su control remoto (migrate PID...).

El arranque de explorer.exe es realizado por el binario que lleva este mismo nombre, y que se encuentra en la clave del registro que podéis ver a continuación:
Últimamente ciertos malware, destacando los de tipo ransomware (como el Virus de la Policía, conocido por ciertos lares como el virus Mortadelo :P), se han aprovechado del funcionamiento de explorer.exe para modificar la clave del registro donde se situaba el path del binario explorer.exe e indicar la ruta donde se encontraba dicho malware (AppData, Roaming, System32, ..., depende de la variante y de los permisos del equipo de la víctima) para así automatizar el arranque durante el inicio del sistema operativo y engañar al usuario con la popular pantalla "policial":


Arrancando Windows en modo a prueba de fallos se evitaba su inicio y se podía acceder al sistema para eliminar la clave del registro referenciada y sustituirla por "explorer.exe".

Cómo veis, explorer.exe es un proceso crucial del arranque de Windows, ¡así que cuidado con él!


Palabras claves ,
publicado por alonsoclaudio a las 22:34 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Junio 2017 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
252627282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
» Cómo descargar música desde Goear
2 Comentarios: seo plugin, Juanjo
» Cómo espiar WhatsApp
10 Comentarios: Hacktivist, Bayford., carlos quiros, [...] ...
» Analizando el LiveBox 2.1 de Orange
1 Comentario: brahim
» Software libre para punto de venta
2 Comentarios: JOSE, Esc00
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad