¿Puede un programa cambiar la ubicación de acceso directo de un navegador a sí mismo sin UAC (Administrador) en Windows?

Navega tus respuestas
1

Estaba leyendo un artículo sobre archivos .desktop utilizados para propagar malware en Gnome y KDE. Simplemente pensé que lo mismo podría aplicarse a Windows .

En Windows:

  1. El malware se disfraza como una imagen al cambiar el icono. > > Foto divertida

  2. El usuario lo abre.

  3. Se copia a sí mismo en un lugar sin UAC (administrador) como Mis documentos.

  4. Reemplaza un acceso directo como Firefox con su propia ubicación y retiene el icono.

  5. El usuario lo abre. Pide UAC. Incluso dice sin firmar.

  6. El usuario de Windows ignora la advertencia Sin firmar que le da UAC.

  7. Malware abre Firefox. El usuario no se da cuenta de nada.

  8. La computadora está infectada.

¿Esto funcionaría? ¿Se requiere UAC para cambiar un acceso directo de una ubicación protegida?

Editar: El objetivo principal de esto es obtener UAC sin solicitarlo cuando se abre, pero engañar al usuario para que le otorgue UAC suplantando a Firefox o algún otro programa.

    
pregunta Ufoguy 04.12.2013 - 18:16
fuente

1 respuesta

1

El escenario que has descrito podría funcionar. Puede que no suceda de la manera exacta que representaste. Los archivos .desktop pueden ubicarse en cualquier ubicación de la computadora víctima.

NOTA: Necesita UAC para entrar en una ubicación protegida.

De todos modos, debe ejecutarse para iniciar su trabajo real. En el caso de Windows solo haga doble clic (un comando de ejecución en el caso de Linux).

Posiblemente puede suplantar / imitar cualquiera de los programas que usó recientemente o un software familiar en su sistema.

Cuando el usuario intenta ejecutar / hacer clic en el archivo suplantado, solicita el UAC como dijiste. (Esto es altamente detectable por este personaje en particular). Si se le da acceso, entonces sí, es una víctima exitosa y su computadora está comprometida.

Sin embargo, eliminar los archivos .desktop no es tan difícil. Aquí hay una buena lectura sobre los archivos .desktop.

    
respondido por el BlackMamba 05.12.2013 - 10:15
fuente

Lea otras preguntas en las etiquetas

Alquilar un servidor remoto con IPMI: ¿es uno vulnerable? ¿Skype Trump SSLStrip?