14 ago 2014

Seguridad en el arranque de Windows. Parte 4 de 9


Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 4 de 8 dentro de nuestra clasificación y que se corresponde con el inicio de GINA.

GINA son las siglas de Graphical Identification and Authentication. Se trata de una librería dinámica cargada por winlogon.exe y que se encarga de realizar el proceso de autenticación.
Tras la autenticación del usuario GINA crea el proceso explorer.exe, que presenta el escritorio.

Desde Windows Vista, la sesión cero no se emplea para el inicio de sesión interactivo, separando los procesos del usuario de los del equipo. Sigue habiendo una instancia de winlogon en todas las sesiones, menos en la cero.

Existen librerías maliciosas diseñadas con el objetivo de troyanizar GINA, que básicamente suplantan la original. Por poneros un ejemplo,  un malware de tipo troyano que afecta a GINA es  "Trojan:Win32/Fakegina.S" y que podéis ver aquí:
  • http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FFakegina.S
Os dejamos algunos detalles que podemos ver de una muestra de ejemplde Virtus Total:
  • Tamaño del fichero: 44.5 KB ( 45568 bytes )
  • Tipo: Win32 DLL
  • MS-DOS executable PE for MS Windows (DLL) (GUI) Intel 80386 32-bit, UPX compressed
  • TrID UPX compressed Win32 Executable (39.5%)
  • Win32 EXE Yoda's Crypter (34.3%)
  • Win32 Executable Generic (11.0%)
  • Win32 Dynamic Link Library (generic) (9.8%)
  • Generic Win/DOS Executable (2.5%)
Todos los detalles en:
  • https://www.virustotal.com/es/file/1f187636c9b18c42e79259f3206892da42b28e18a91712c79574299502451de3/analysis/
Nos vemos en el próximo post,

Saludos!

No hay comentarios:

Publicar un comentario