Todos os arquivos do System32 podem ser confiáveis no Windows?

1

Então, quando um vírus chegou ao meu computador, decidi procurá-lo olhando para a lista de tarefas em execução no Gerenciador de Tarefas. Provavelmente não é o melhor caminho, mas essa foi a minha abordagem.

Muitos executáveis que estavam em execução estavam no diretório C:\Windows\System32 . Eu entendo que é um diretório do Windows para o sistema operacional. Mas um programa pode adicionar um executável lá?

Em outras palavras, pode um vírus colocar lá executável nesse diretório, com ou sem permissões de administrador? Ou esse diretório é exclusivamente reservado para o SO?

    
por Giorgio Cavicchioli 19.10.2017 / 22:22

1 resposta

0

System32 é uma pasta confiável se ...

Em uma instalação do Windows em uma configuração padrão, somente processos com permissões de nível administrativo podem criar arquivos na pasta System32. Portanto, você pode confiar no código em execução a partir desse diretório se o seguinte for verdadeiro:

  • Somente programas confiáveis foram instalados no computador. (Estou aqui referindo-me apenas a programas que exigem elevação para instalar.)

  • O sistema não foi comprometido com uma vulnerabilidade de elevação de privilégio.

Este segundo ponto é difícil de ser confiável, especialmente nos casos em que se suspeita de software malicioso. Por exemplo, uma ameaça poderia ter sido iniciada sob uma conta sem privilégios, usado uma vulnerabilidade para obter permissões administrativas e, em seguida, instalado um kit raiz para ocultar sua presença. O administrador do sistema pode ter um bom motivo para suspeitar de algo em andamento, mas não ser capaz de confirmar ou negar o possível uso de uma elevação de exploração de privilégio.

É claro que alguém que usa seu sistema diariamente conectado com uma conta de nível administrativo torna significativamente mais fácil para o código mal-intencionado comprometer todo o sistema e provavelmente é melhor presumir que eles estão estragados ao primeiro sinal de atividade indesejada.

Nem todo código executado do System32 é o que parece

Aproximando-se de outro ângulo está a possibilidade de que, à medida que você inspeciona seu sistema em busca de processos maliciosos, é possível que pense que código esteja sendo executado a partir do System32, quando na verdade não é.

Mesmo em uma máquina onde o software indesejado nunca teve permissões de administrador, isso pode dar ao observador casual a impressão de que está sendo executado a partir da pasta System32. Ele faz isso colocando uma DLL maliciosa em um local não privilegiado (por exemplo, a estrutura de pastas AppData) e, em seguida, executa DLLHOST.EXE (um executável da Microsoft que reside no System32), passando o nome da DLL como um argumento. Porque o processo em execução é DLLHOST.EXE, tudo parece legítimo. É somente em uma inspeção mais próxima que se descobrirá que o código real, contido na DLL, não está em um local normalmente privilegiado e, portanto, suspeito.

A boa notícia é que, em casos como esse, em que códigos maliciosos não obtiveram permissões de administrador, eles não podem sair da conta do usuário originalmente infectado, configurando o Windows para iniciá-lo para todos os usuários. Portanto, essas ameaças podem ser facilmente eliminadas fazendo login com uma conta não comprometida e fazendo a limpeza a partir daí.

    
por 20.10.2017 / 02:51

Tags