Hola, todo depende de la seguridad que tengas en tu PC por ejemplo si tenes un buen firewall, un anti spyware, anti malware, además de eso también si tenes servicios, procesos o programas corriendo ya que éstos pueden tener alguna vulnerabilidad o abrir un puerto de escucha donde acepten conexiones entrantes.
El hecho de que estés o no en tu PC lo mismo pueden hacer un chequeo a tu IP para saber que puertos o servicios tenes funcionan y si son o no vulnerables.
Una de las vulnerabilidades más grandes de Windows es WMI/DCOM, que debería desactivarse bloqueando o eliminando/renombrando los ejecutables que se encargan de eso.
WmiPrvSE.exe Se me metió un virus que se llama conhoy.exe.
Tuve que bloquear con permisos de seguridad denegados para Everyone/propietario Everyone para ese ejecutable y para:
taskeng.exe - Task scheduler powershell.exe - renombrado a owashell.exe o bloqueado con permisos denegados para Everyone. Ccon PowerShell descargan y ejecutan de servidores web de botnets corriendo IIS o similares.
El problema de WMI es que supuestamente es posible ejecutar libremente programas y comandos desde cualquier servidor remoto, y esos comandos pueden descargar infinidad de troyanos como el miner MyKings.
O sea que con las herramientas nativas de administración remota de Windows y el sistema mal configurado o por lo menos desatendido, como por ejemplo un Windows básico o con el firewall apagado, corriendo como administrador, con puertos de red o servidor abiertos o P2P, o con otros programas descargados con virus, pueden entrar empezando con herramientas remotas nativas activadas sin saber.
« Última modificación: 7 Mayo 2023, 18:42 pm por ~ »