No relatório de um serviço de análise de malware encontrei o seguinte referente a um arquivo analisado:
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
O que isto significa? O que é \ThemeApiPort?
Responder1
O que é \ThemeApiPort?
\ThemeApiPort?é uma porta LPC usada para comunicação entre processos, neste caso para fornecer gerenciamento de temas no Windows XP.
LPC (Local Procedure Call) é um componente do kernel do Microsoft Windows usado para comunicação entre processos (IPC). Essa interface não documentada é usada em segundo plano da API conhecida do Windows. A maioria dos componentes do sistema usa a interface LPC para se comunicar com programas de segurança de nível inferior
FonteESCALAÇÃO DE PRIVILÉGIOS DO WINDOWS ATRAVÉS DE INTERFACES LPC E ALPC(pdf).
O documento acima identifica vulnerabilidades de escalonamento de privilégios associadas às interfaces LPC e ALPC.
A interface (A)LPC faz parte da API nativa não documentada do Windows NT e, como tal, não está disponível para uso direto pelos aplicativos. No entanto, pode ser usado indiretamente nos seguintes casos:
- ao usar a API Microsoft RPC para comunicação local, ou seja, entre os processos na mesma máquina
- chamando APIs do Windows que são implementadas com (A)LPC
FonteComunicação local entre processos - Wikipedia
Existem vários vírus que se aproveitaram de \ThemeApiPortvulnerabilidades para injetar código em processos do Windows, por exemplo:
TR/Espião.1350396
Injeções >
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}