Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 4 de 8 dentro de nuestra clasificación y que se corresponde con Winlogon.
En el pasado post de la cadena hablábamos de GINA, y de como era cargada por Winlogon para arrancar el proceso de autenticación de Windows. En el siguiente paso Winlogon se encarga de arrancar Explorer.exe e iniciar Userinit.exe.
Userinit.exe es el encargado de generar:
- El entorno del usuario autenticado
- Restauración de su perfil
- Restauración de las conexiones de red
- Restauración de los scripts de inicio
- Etc.
Userinit.exe se encuentra definido en la siguiente clave del registro del sistema:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Al igual que en el caso de GINA os alertábamos de la existencia de librerías maliciosas diseñadas con el objetivo de troyanizar GINA, suplantando la original y os enlazamos un ejemplo analizado con Virus Total, Userinit.exe sufre problemas semejantes, y son muchos los malware que aprovechan esta clave para alojar un ejecutable modificado, o añadir ejecutables maliciosos con el fin de iniciar troyanos tipo Zeus y otras joyas similares.
A continuación os dejamos con un ejemplo de malware que suplanta userinit.exe y que podéis ver desde la web de Virus Total:
- Original name: USERINIT.EXE
- Internal name: userinit
- Tamaño del fichero: 43.5 KB ( 44544 bytes )
- Tipo: Win32 EXE
- Magic literalPE32 executable for MS Windows (GUI) Intel 80386 32-bit
- TrID Win32 Executable MS Visual C++ (generic) (64.5%)
- Win32 Dynamic Link Library (generic) (13.6%)
- Win32 Executable (generic) (13.4%)
- Generic Win/DOS Executable (4.1%)
- DOS Executable Generic (4.1%)
Enlace a todos los datos sobre la muestra en Virus Total:
- https://www.virustotal.com/es/file/5988fbcac06e602a9924f32f91fe0c7fc33ff089cc30239fbc9090cb54ee12b5/analysis/
Nos vemos en el próximo post,
Saludos!