Programas maliciosos que aprovechan las vulnerabilidades de Windows [cerrado]

2

Me preguntaba si la mayoría de los virus y gusanos están creados para explotar vulnerabilidades del sistema Windows (no una aplicación de terceros), también me gustaría ver un informe.

En Windows, un usuario normal siempre está (la mayoría de las veces) con derechos de administrador, digamos que ejecuta un virus / gusano, después de que se ejecuta con derechos de administrador, ¿por qué el virus / gusano necesitaría explotar un ¿vulnerabilidad? Ya se ejecutó, solo marque user == admin y solo infecte Windows.

La pregunta es:

¿Por qué un tipo malo creará un virus para explotar el sistema?

EDITAR:

Está bien, sé de UAC, pero como dije, algunos usuarios no tienen educación, por lo que no es suficiente ser un usuario administrador, la idea de un virus es obtener los derechos del SISTEMA

¿Cuál es el propósito de un virus? ¿Por qué no solo ser un keylogger o el malo es solo un troll?

Todo esto viene porque pensé que los programas de virus simplemente roban información sobre el usuario, como el registro de teclas o algo así, ¿por qué necesita explotar una vulnerabilidad? Me parece demasiado complicado depender de una vulnerabilidad, ya que las vulnerabilidades se eliminan con las actualizaciones

    
pregunta tttony 21.07.2015 - 02:54
fuente

2 respuestas

2

El objetivo de una pieza de malware es permanecer en su sistema todo el tiempo que pueda. Para hacer esto, se requieren varios pasos y, a menudo, no basta con tener privilegios administrativos de usuario. Ganar ejecución es solo un paso. Si el malware tiene la suerte de que el usuario lo ejecute, no puede asumir que tiene derechos de administrador. En cuyo caso, es necesaria la explotación de una vulnerabilidad. Puede verificar los permisos de Windows, pero los permisos de la cuenta en Windows son un tema complicado .

En el punto de tener credenciales de administrador de usuario, el malware a menudo puede escribir archivos y valores de registro. Hay muchas técnicas de persistencia que se pueden usar, pero escribir claves de registro o la ejecución de archivos en el arranque es una de las más fáciles de detectar y eliminar. Para los sistemas operativos modernos necesita ir más allá con los privilegios de nivel de SISTEMA.

El simple hecho de ser administrador no le da acceso total al sistema, y el siguiente nivel sería explotar una vulnerabilidad para permitir el acceso a nivel del SISTEMA. Esto le daría al atacante el control suficiente para instalar un rootkit en un nivel inferior. Los rootkits adoptan muchas formas, y en los sistemas operativos modernos cada vez es más difícil instalar este tipo de malware dentro de proceso de arranque .

La explotación de vulnerabilidades toma muchas formas. No todas las vulnerabilidades conducen a la ejecución remota de código. Algunos de ellos pueden conducir a fugas de direcciones de memoria que son útiles para vencer a ASLR, y otros simplemente le dan una escalada de privilegios. El malware utiliza vulnerabilidades para su propósito específico, y todos ellos vinculados entre sí pueden crear una pieza de software molesta para deshacerse de ella.

    
respondido por el RoraΖ 21.07.2015 - 14:24
fuente
1

No asuma que el usuario siempre tiene derechos de administrador. Ese puede ser el caso en las computadoras domésticas, pero en las redes corporativas, los usuarios pueden ser usuarios sin privilegios.

En cuanto a por qué un virus tiene que exponer una vulnerabilidad específica:

  1. Muchos usuarios no son lo suficientemente estúpidos como para descargar un virus en su máquina y luego ejecutarlo.
  2. Incluso si lo hicieran, entonces UAC mostraría una advertencia obvia de que el programa quería cambiar configuraciones importantes del sistema.
respondido por el Simon B 21.07.2015 - 13:39
fuente

Lea otras preguntas en las etiquetas