En el informe de un servicio de análisis de malware encontré lo siguiente sobre un archivo analizado:
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
¿Qué quiere decir esto? ¿Qué es el \ThemeApiPort?
Respuesta1
¿Qué es el \ThemeApiPort?
\ThemeApiPort?es un puerto LPC utilizado para la comunicación entre procesos, en este caso para proporcionar gestión de temas en Windows XP.
LPC (llamada a procedimiento local) es un componente del kernel de Microsoft Windows que se utiliza para la comunicación entre procesos (IPC). Esta interfaz no documentada se utiliza en segundo plano de la conocida API de Windows. La mayoría de los componentes del sistema utilizan la interfaz LPC para comunicarse con programas de seguridad de nivel inferior.
FuenteESCALADA DE PRIVILEGIOS DE WINDOWS A TRAVÉS DE INTERFACES LPC Y ALPC(pdf).
El documento anterior identifica vulnerabilidades de escalada de privilegios asociadas con las interfaces LPC y ALPC.
La interfaz (A)LPC es parte de la API nativa no documentada de Windows NT y, como tal, no está disponible para aplicaciones para uso directo. Sin embargo, se puede utilizar indirectamente en los siguientes casos:
- cuando se utiliza la API RPC de Microsoft para comunicarse localmente, es decir, entre los procesos en la misma máquina
- llamando a las API de Windows que se implementan con (A)LPC
FuenteComunicación local entre procesos - Wikipedia
Existen varios virus que se han aprovechado de \ThemeApiPortlas vulnerabilidades para inyectar código en los procesos de Windows, por ejemplo:
TR/Spy.1350396
Inyecciones >
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}