11 ago 2014

Seguridad en el arranque de Windows. Parte 3 de 9

Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 3 de 8 dentro de nuestra clasificación y que se corresponde con el inicio de los servicios con arranque automático del sistema operativo.

Los servicios son ejecutables de larga duración, que se ejecutan en sus propias sesiones de Windows. Estos servicios pueden iniciarse automáticamente cuando el equipo arranca, y se pueden pausar y reiniciar. No muestran ninguna interfaz de usuario, lo que es aprovechado por gran cantidad de malware para desplegarse en los equipos sin ser detectado


Los servicios comprenden a su vez varios estados:

1.- Instalación: El primer paso de un servicio es el de instalación en el sistema. Este proceso ejecuta los instaladores del servicio y carga el servicio en el Administrador de control de servicios del equipo.

2.- Una vez cargado el servicio, es necesario iniciarlo. Se puede iniciar manualmente desde el Administrador de control de servicios, desde el Explorador de servidores o desde código, o automáticamente, como ya hemos visto.

3.- Un servicio en ejecución puede permanecer indefinidamente en este estado, hasta que se detiene o se pausa, o hasta que se apaga el equipo. 

Para más información sobre los servicios de Windows y en concreto sobre el desarrollo de aplicaciones de servicios os recomendamos este artículo de MSDN: http://msdn.microsoft.com/es-es/library/zt39148a(v=vs.110).aspx, donde podréis aprender los pasos básicos para instalar el malware Flu desarrollado en .Net como un servicio.

Hasta el próximo post,

Saludos!

1 comentario:

  1. Estaría bueno agregar que la lista completa de servicios está en HKLM/System/CurrentControlSet/Services.
    Desde ahí se pueden eliminar a mano los sospechosos (solo quien sepa realmente lo que está haciendo). También se pueden ver que ejecutables o bibliotecas están ligados a un servicio en particular.
    Saludos

    ResponderEliminar