Maneras de autoinicio menos visibles?

[Borito30]

Hola he estado documentandome para descubrir todas las maneras posibles de autoinicio y ya hay información al respecto en el foro:
http://foro.elhacker.net/analisis_y_diseno_de_malware/aporte_9_metodos_de_autoinicio_en_un_solo_script-t413898.0.html

Pero mi cuestión es todas estas formas son visibles en el administrador de tareas en inicio. Entonces siguen siendo visibles¿?

[engel lex]

Pero mi cuestión es todas estas formas son visibles en el administrador de tareas en inicio. Entonces siguen siendo visibles¿?

no se si ultimamente estás formulando super mal las preguntas o si yo no comprendo lo que escribes...

pero te responderé con tu pregunta

Pregunta: Entonces siguen siendo visibles¿?
respuesta: estas formas son visibles en el administrador de tareas en inicio

y no se cual es el administrador de tareas en inicio... hasta donde yo se en windows hay un solo administrador de tareas

[[Arg] $triker;]

Del Task Manager uno no se esconde fácil. Si hacés que sea otra credencial la que inicie el programa y no la del explorer, entonces para verlo el usuario va a necesitar drechos de administrador en el Task Manager para ver ese proceso.

Creeme que en todos estos años que estuve usando Windows me infecté con decenas de cosas desde mugen.vbs hasta Conficker, y hasta ahora ninguna pudo esconderse del Task Manager.

[Borito30]

hay un nuevo virus llamado dridex que se borra nada más encenderlo pero si lo apagas desde el botón queda inutilizado. En otras palabras dridex lo que hace es cuando inicias el sistema borra la clave en el registro y cuando apagas sin apagarlo con el boton a lo brusco.. es decir, apagandolo desde el windows se crea la clave y es casi invisible. Pero aún así requiere de registro..

[engel lex]

hay un nuevo virus llamado dridex que se borra nada más encenderlo pero si lo apagas desde el botón queda inutilizado. En otras palabras dridex lo que hace es cuando inicias el sistema borra la clave en el registro y cuando apagas sin apagarlo con el boton a lo brusco.. es decir, apagandolo desde el windows se crea la clave y es casi invisible. Pero aún así requiere de registro..

que borre la clave al encender es simple.... que la cree al apagarse tambien, XD no es nada del otro mundo... pero eso no afecta el taskmgr

[kub0x]

Para "esconderte" del TaskMgr y Regedit basta :

Modo avanzado: Hookear la API que hace las querys sobre los procesos, lo mismo con Regedit y a esto se le conoce como Rootkit en ring3 o User-Mode.

Modo simple: Selecciona un programa de la lista de programas que cargan en el inicio. Asegurate de que el mismo no esta firmado digitalmente, e infectálo con el código malicioso. Digo lo de firmado digitalmente puesto que si alteras el código la firma digital no equivaldrá al hash. También puedes borrar la firma digital (cuando controlas el pc controlas la crypto), aunque mejor respetarla. ¿Qué conseguimos?... No salimos en TaskMgr como programa de inicio, ni en regedit, corremos dentro de otro software, por lo que en TaskMgr saldrá el nombre de ese software, el AntiVirus (AV) ni lo olerá mientras no haga nada brusco, además puede hasta que tenga reglas de confianza sobre el mismo software infectado.

Y mil ideas más que se me ocurren...

Saludos!

[MCKSys Argentina]

Más allá de lo anterior, los que somos adictos al tema, no usamos Taskman, usamos Process Explorer.

Desde que salió... 

Saludos!

[engel lex]

así que ya sabes, solo inyectas la memoria de cualquier proceso similar, buscando el nobre de tu exe y lo borras de la apariencia visual del programa

[[Arg] $triker;]

Más allá de lo anterior, los que somos adictos al tema, no usamos Taskman, usamos Process Explorer.

Desde que salió... 

Saludos!

+1, se recomienda, sí.

[Borito30]

supongo que si en mi caso intento con una aplicacion .net se me complica un poco pero bueno no es imposible gracias!