Bien ,este tutorial es bastante simple de un bug (bug porque se supone que sólo los procesos con esos nombres de Windows deberían tener esa propiedad) que acabo de descubrir con el administrador de tareas.
Un ejecutable con los siguientes nombres:

lsass.exe
csrss.exe
services.exe
winlogon.exe
smss.exe

Ante Windows XP (el administrador de tareas,tasklist y taskkill,algunos gestores de procesos) es indetenible y por lo tanto no lo puede cancelar,la única solucion es detener el proceso con un programa hecho a bajo nivel,como por ejemplo un gestor de procesos en ASM,esta información es bastante útil para el desarrollo de troyanos,virus y keyloggers sin necesidad de rootkits,al copiarse por ejemplo a %systemroot% es muy probable que el archivo pase desapercibido,y por el hecho de estar en ejecución da dificultad para ser eliminado.

Tambien otro nombre interesante es svchost.exe,el proceso que pasa mas inadvertido por su multiple ejecución.

Saludos

PD: Esta información fue tomada del virus que se propaga por USB Knight .exe,ya que usa esos nombres para evitar que maten su proceso.

Es verdad, el bug solo esta presente en taskmgr, taskkill no es vulnerable a dicho problema.

Saludos!!

Hablando del tema, yo tengo una duda si intentamos hacer temas de procesos imparables sin "rootkit", sin usar hooks etc... una forma muy tipica y que use en mi primer troyano es cada X segundos buscas procesos y si encuentras taskkill.exe lo matas, "bug del troyano" si haces taskkill en la cmd y luego arriba enter arriba enter arriba enter..... hay un momento de desincronización y mata el proceso, pero por otro lado lo que no podemos hacer es no ponerle un tiempo de espera por que gastaria mas recursos que el vista. Entonces ¿hay alguna forma sin necesidad de hook para hacer algun efecto parecido?, lei el post y pensando no se me ocurrio ninguna para ese "problema" especifico, bueno si ya usar otras tecnicas pero se sale de la regla que marca el hacerlo en plan "cutre".

Es por pura cuiriosidad, si no quieres garantizar futuros accesos es interesante usar cosas mas "simples".

@reg add "HKLM\Software\Microsoft\Command Processor" /v AutoRun /f /d "@For %a in (taskkill,taskkill.exe,tskill.exe,tskill,@taskkill,@taskkill.exe,@tskill.exe,@tskill,doskey.exe,doskey,@doskey,@doskey.exe) Do @doskey %a=@">nul

Y adios TaskKill,y adios Tskill lol,cuando hize este tema en otro foro,ya sabía lo de taskkill a modo forzado específicamente con la PID,y luego lo intente con tskill con la PID y funcionó O__O ,entonces hize ese pequeño ejemplo para mostrar la clave donde agregar el código que el interprete de comandos ejecuta por cada inicio de este,aunque debo reconocer que tiene un bug.

si escribes @@taskkill por ejemplo funciona xD,aunque es poco probable que la víctima sepa que por cada vez que abre el interprete esta ejecuta código...

Tambien ejecutando a taskkill.exe o tskill.exe 'fuera' del interprete,este funciona xD

La idea de deshabilitar el admin. de tareas no me gusta mucho ya que de momento que haces eso le estas diciendo al usuario que estás adentro...

Y un hook,es bueno y todo,aveces algo inestable,pero rapidamente se hacen detectados...

Tambien si quieres puedes evitar acceso a la CMD.exe con esa clave del registro agregando un Exit,pero sería muy notorio xD

Y lo del bucle,nah es algo feo xD

Otra cosa,sin la PID hacer taskkill /f /im csrss.exe mata a todos los csrss.exe ejecutados y no es muy comodo que digamos que se te reinicie la máquina,la PID se puede obtener viendo entre los procesos el de nombre de usuario que no diga SYSTEM...

Se podía deshabilitar la ventana de proteccion de archivos de windows modificando un offset de una DLL que no recuerdo y una clave del registro

no veo comodo deshacerce del taskmgr,tendrías que copiar la interfaz de este y todo xD