Tras la autenticación del usuario GINA crea el proceso explorer.exe, que presenta el escritorio.
Desde Windows Vista, la sesión cero no se emplea para el inicio de sesión interactivo, separando los procesos del usuario de los del equipo. Sigue habiendo una instancia de winlogon en todas las sesiones, menos en la cero.
Existen librerías maliciosas diseñadas con el objetivo de troyanizar GINA, que básicamente suplantan la original. Por poneros un ejemplo, un malware de tipo troyano que afecta a GINA es "Trojan:Win32/Fakegina.S" y que podéis ver aquí:
- http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FFakegina.S
Os dejamos algunos detalles que podemos ver de una muestra de ejemplde Virtus Total:
- Tamaño del fichero: 44.5 KB ( 45568 bytes )
- Tipo: Win32 DLL
- MS-DOS executable PE for MS Windows (DLL) (GUI) Intel 80386 32-bit, UPX compressed
- TrID UPX compressed Win32 Executable (39.5%)
- Win32 EXE Yoda's Crypter (34.3%)
- Win32 Executable Generic (11.0%)
- Win32 Dynamic Link Library (generic) (9.8%)
- Generic Win/DOS Executable (2.5%)
Todos los detalles en:
- https://www.virustotal.com/es/file/1f187636c9b18c42e79259f3206892da42b28e18a91712c79574299502451de3/analysis/
Nos vemos en el próximo post,
Saludos!
No hay comentarios:
Publicar un comentario