Pillole di #MalwareAnalysis
Image File Execution Option #IFEO per la #persistenza
I metodi utilizzati dai #malware per mettersi in persistenza sono svariati, tra questi uno poco conosciuto è l’opzione IFEO (Image File Execution Option).
Tramite questa opzione è possibile dire a #Windows di lanciare un programma al posto di un altro.
Io ad esempio lo utilizzo per lanciare #ProcessExplorer ogni volta che richiamo il #TaskManager con la Secure Attention Sequence (CTRL-ALT-CANC).
Come fare? Semplice!
Andate con #regedit nel ramo “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” e scegliete il ramo con il file che volete sostituire, in questo caso #Taskmgr.exe.
In quel ramo nella chiave Debugger inserite il path del programma che desiderate eseguire.
Naturalmente se un Malware esegue un’operazione di questo tipo verrà lanciato a vostra insaputa.

Tweet