В отчете службы анализа вредоносного ПО я обнаружил следующее относительно анализируемого файла:
Connects to LPC ports
details: "<Input Sample>" connecting to "\ThemeApiPort"
source: API Call
Что это значит? Что такое \ThemeApiPort?
решение1
Что такое \ThemeApiPort?
\ThemeApiPort?— порт LPC, используемый для межпроцессного взаимодействия, в данном случае для управления темами в Windows XP.
LPC (Local Procedure Call) — компонент ядра Microsoft Windows, используемый для связи между процессами (IPC). Этот недокументированный интерфейс используется на заднем плане известного API Windows. Большинство системных компонентов используют интерфейс LPC для связи с программами безопасности более низкого уровня
ИсточникПОВЫШЕНИЕ ПРИВИЛЕГИЙ WINDOWS ЧЕРЕЗ ИНТЕРФЕЙСЫ LPC И ALPC(pdf-файл).
В приведенной выше статье определены уязвимости повышения привилегий, связанные с интерфейсами LPC и ALPC.
Интерфейс (A)LPC является частью недокументированного собственного API Windows NT и, как таковой, недоступен для приложений для прямого использования. Однако его можно использовать косвенно в следующих случаях:
- при использовании Microsoft RPC API для локального взаимодействия, т. е. между процессами на одной машине
- путем вызова API Windows, реализованных с помощью (A)LPC
ИсточникЛокальное межпроцессное взаимодействие — Википедия
Существует несколько вирусов, которые используют \ThemeApiPortуязвимости для внедрения кода в процессы Windows, например:
TR/Spy.1350396
Инъекции >
%WINDIR%\System32\svchost.exe{<-\ThemeApiPort}