Im Bericht eines Malware-Analysedienstes fand ich zu einer analysierten Datei folgendes:
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
Was bedeutet das? Was ist der \ThemeApiPort?
Antwort1
Was ist der \ThemeApiPort?
\ThemeApiPort?ist ein LPC-Port, der für die Interprozesskommunikation verwendet wird, in diesem Fall um die Designverwaltung unter Windows XP bereitzustellen.
LPC (Local Procedure Call) ist eine Kernelkomponente von Microsoft Windows, die für die Kommunikation zwischen Prozessen (IPC) verwendet wird. Diese nicht dokumentierte Schnittstelle wird im Hintergrund der bekannten Windows-API verwendet. Die meisten Systemkomponenten verwenden die LPC-Schnittstelle, um mit Sicherheitsprogrammen auf niedrigerer Ebene zu kommunizieren
QuelleWINDOWS-PRIVILEGEERHÖHUNG DURCH LPC- UND ALPC-SCHNITTSTELLEN(pdf).
Das obige Dokument identifiziert Schwachstellen bei der Rechteausweitung, die mit LPC- und ALPC-Schnittstellen verbunden sind.
Die (A)LPC-Schnittstelle ist Teil der nicht dokumentierten nativen API von Windows NT und steht als solche Anwendungen nicht zur direkten Verwendung zur Verfügung. Sie kann jedoch in den folgenden Fällen indirekt verwendet werden:
- bei Verwendung der Microsoft RPC API zur lokalen Kommunikation, d. h. zwischen den Prozessen auf demselben Computer
- durch den Aufruf von Windows-APIs, die mit (A)LPC implementiert sind
QuelleLokale Interprozesskommunikation – Wikipedia
Es gibt mehrere Viren, die Schwachstellen ausgenutzt haben, \ThemeApiPortum Code in Windows-Prozesse einzuschleusen, zum Beispiel:
TR/Spy.1350396
Injektionen >
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}