Hola a tod@s!
Llevo unas semanas de curro impresionantes, y no tengo apenas tiempo físico para escribir un poquito, así que estoy «economizando» mis momentos para hacer varias tareas a la vez. Los hombres también podemos hacer más de dos cosas a la vez. ;-). Así que aquí estoy, en un bar irlandés, con una cervecita negra que no rubia, con el portátil encendido, y como no! los que me conozcáis deduciréis que me he sentado en un sitio estratégico… Pues sí herman@s. Estoy sentado frente a una morena… Y me está mirando! 🙂
En fin, siguiendo a otras cosas más divertidas, me di cuenta hace una semana más o menos de un comportamiento curioso en Windows Vista que no tienen sus hermanos pequeños, Windows XP/2K3, etc… El caso es el siguiente.
Cuando un malware infectaba un equipo, éste lo podía hacer de muchas maneras. Una de las más fáciles era nombrar el malware como un proceso crítico del sistema. Todos conoceréis o habréis tenido la ocasión de examinar un equipo que tenga un malware de estas características. Ejemplos los hay a miles:
http://web.alerta-antivirus.es/virus/detalle_virus.html?cod=6858 (Malware MumaWow) (Versión TrianaDirecto:Mumamón) 😉
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3650 (Malwrare NetSky)
Son dos ejemplos más que ilustrativos. Uno se «camufla» bajo el sobrenombre de svchost, y NetSky utiliza el nombre de Winlogon.
Pongamos un ejemplo ilustrativo con el proceso Winlogon.
Winlogon es un proceso crítico del sistema operativo. Se encarga de muchísimas tareas en el sistema operativo tales como la secuencia de seguridad CTRL+ALT+SUP, responsable de la configuración de las políticas de grupo, cargar perfiles de usuario, da soporte a GINA, etc…
Los creadores de malware saben esto, y piensan automáticamente que si vemos algún proceso con este nombre, nos lo pensaremos dos veces antes de pararlo. Si conseguimos parar este proceso, nuestra sesión se cierra automáticamente. Este comportamiento de Windows es así por diseño del sistema operativo (sólo hay un proceso winlogon corriendo en el sistema), para prevenir por ejemplo que una aplicación muestre un diálogo de inicio de sesión falso, y así conseguir suplantar la identidad de algún usuario.
Si aún sabiendo estos datos, nos diésemos cuenta de que tenemos más de un proceso winlogon en nuestro sistema, e intentásemos pararlo, esta es la respuesta que obtendríamos.
No lo puedo parar! Horror!! Qué pasa? Qué tipo de comportamiento es este? Si soy el administrador de mi equipo, como es que no puedo eliminar este proceso?
Son preguntas que nos hemos hecho todos alguna que otra vez. En versiones anteriores a Windows Vista, el administrador de tareas (y taskkill en línea de comandos) intentaba evitar mediante un algorítmo el hecho de que se pudiese eliminar un proceso crítico del sistema operativo. Pero hecha la ley, hecha la trampa. El algorítmo para decidir qué proceso era crítico o no, no era muy inteligente que digamos en Windows XP/2K3, etc.., y era fácil para un creador de malware simular un proceso crítico del sistema (simplemente cambiando el nombre) para que herramientas del sistema como el TaskManager o TaskKill no pudiesen eliminar.
Aunque bueno, miento un poco. La aplicación sí que se puede eliminar, pero desde herramientas de terceros, como puede ser perfectamente válida Process Explorer.
Para evitar este tipo de falsificaciones, el administrador de tareas de Windows Vista ya no «vigila» si un usuario quiere parar un proceso crítico del sistema operativo, ni intenta evitar el paro forzoso de un proceso, sea crítico o no. Nos da total libertad para hacer con los procesos que no sean de sistema lo que nos de la gana, asumiendo así toda la responsabilidad.
Para procesos iniciados desde la capa de usuario, iniciaremos acciones en el administrador de tareas tal y como aparece en la imagen de abajo:
Y para procesos críticos del sistema que estén iniciados desde la capa del sistema, iniciaremos acciones en el administrador de tareas previa aceptación de elevación de privilegios si UAC está habilitado (por defecto está habilitado):
Y eso es todo amig@s!
Sed buenos. Yo desconecto ya. Creo que he descubierto una brecha de seguridad en el perímetro en donde está sentada la morena y voy a aprovecharla!
Saludos a tod@s!!
Ahí, ahí, juaqueando a la morena…
Aparte de eso, muy interesante el artículo 🙂
¡Un abrazo primo!
Muy curioso el comportamiento. Mola!