Lugares donde los virus y troyanos se ocultan en el arranque.
1.
CARPETA DE INICIO.Windows abre cada "item" en la carpeta Inico dentro del Menu. Esta carpeta es importante en la carpeta Programas del Menu Inicio.
Nota que no dije que Windows "ejecuta" cada programa que esta representado en la carpeta de Inicio. He dicho que "abre cada item". Hay una importante diferencia.
Los programas representados en la carpeta de Inicio se podran ejecutar, por supuesto. Pero tu puedes tener accesos directos en la carpeta de Inicio querepresentan documentos, no programas.
Por ejemplo, si pones un documento de Microsoft Word en la carpeta de Inicio, Word se ejecutará y abrirá automáticamente ese documento en el arranque, si es un archivo WAV, el software de audio reproducirá la música en el arranque, y si pones una página web que te guste, Internet Explorer (o el navegador predeterminado que tengas) se ejecutará y abrirá la página Web por ti cuando el ordenador se encienda. (Los ejemplos citados aquí podrían ser accesos directos de un archivo WAV o de un documento Word, etc.)
2.
REGISTRO. Windows ejecuta todas las instrucciones en la sección "Run" del Registro. Los item de la sección "Run" (y en otras partes del registro que se enumeran a continuación) puede ser programas o archivos que abren programas (los documentos), como se explica en el N º 1.
3.
REGISTRO. Windows ejecuta todas las instrucciones de la sección "RunServices" del Registro.
4.
REGISTRO. Windows ejecuta todas las instrucciones de la parte "RunOnce" del Registro.
5.
REGISTRO. Windows ejecuta las instrucciones de la sección "RunServicesOnce" del Registro. (Windows utiliza las dos secciones "RunOnce" para ejecutar programas sólo una vez, por lo general en el siguiente arranque después de instalar un programa.)
7.
REGISTRO. Windows ejecuta las instrucciones de la sección HKEY_CLASSES_ROOT\exefile\shell\open\command "% 1"% * del Registro. Cualquier comando incrustado aquí se abrirá cuando se ejecute cualquier archivo .exe.
Otros posibles:
[HKEY_CLASSES_ROOT\exefile\shell\open\command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT \batfile\shell\open\command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] = "\"% 1 \ "% *"
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ batfile \ shell \ open \ command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ comfile \ shell \ open \ command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ exefile \ shell \ open \ command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ htafile \ Shell \ Open \ Command] = "\"% 1 \ "
% * "
[HKEY_LOCAL_MACHINE \ Software \ CLASSES \ piffile \ shell \ open \ command] = "\"% 1 \ "
% * "
Si los valores de las Keys no son como se muestran "\"% 1 \ "% *" , y hay algo como "\" algunarchivo.exe% 1 \ "% *" automáticamente invoca el archivo especificado.
8.
ARCHIVO POR LOTES (BATCH). Windows ejecuta todas las instrucciones del archivo batch Winstart, ubicado en la carpeta Windows. (Este archivo es desconocido por casi todos los usuarios de Windows y por muchos expertos de Windows, y podría no existir en tu sistema. Sin embargo lo puedes crear fácilmente. Ten en cuenta que en algunas versiones de Windows la carpeta se llama "WinNT"). EL nombre completo del archivo es Winstart.bat.
9.
ARCHIVO DE INICIO. Windows ejecuta las instrucciones de las líneas "run=" del archivo Win.ini que se encuentra en la carpeta Windows (o WinNT).
10.
ARCHIVO DE INICIO. Windows ejecuta las instrucciones de las líneas "load =" del archivo Win.ini, que se ncuentra en la carpeta Windows (o WinNT).
También ejecuta las cosas en de las lineas shell= del System.ini ó c:\windows\system.ini:
[boot]
Shell=Explorer.exe C:\windows\nombredearchivo
El siguiente nombre que sigue a explorer.exe se iniciará cuando se inicia Windows.
Al igual que en Win.ini, los nombres de los archivos pueden ser precedidos por una línea de espacio considerable, para reducir la posibilidad de que se vea. Normalmente, la ruta completa del archivo se incluye en esta entrada. Si no es así, verificar el directorio \Windows.
11.
RELANZAMIENTO. Windows vuelve a ejecutar programas que se ejecutaban cuando Windows se apagó. Windows no puede hacer esto con la mayoría de los programas que no sean de Microsoft, pero lo hará fácilmente con Internet Explorer y con el Explorador de Windows, el "archivos-y-carpetas" del gestor integrado de Windows. Si tienes Internet Explorer abierto al apagar Windows, Windows volverá a abrir IE con la misma página cuando arranques de nuevo. (Si esto no sucede en tu PC con Windows, alguien ha desactivado esta característica. Usa Tweak UI, la interfaz de usuario de Microsoft Windows para reactivar "Recordar la configuración de Explorer", o como se llame en tu versión de Windows.)
12.
PROGRAMADOR DE TAREAS. Windows ejecuta las instrucciones de autoarranque del Programador de tareas de Windows (o cualquier otro programador que complemente o sustituya al Programador de tareas). El Programador de tareas es una parte oficial de todas las versiones de Windows excepto la primera versión de Windows 95, pero se incluye en Windows 95 si se instala el paquete de Microsoft Plus.
13.
INSTRUCCIONES SECUNDARIAS. Los programas que Windows lanza en el inicio son libres de ejecutar programas independientes por su propia cuenta. Técnicamente, estos
no son programas que Windows inicia, pero que a menudo son indistinguibles del funcionamiento ordinario de los programas de auto-ejecución si son lanzados inmediatamente después de que su "padre" lo ejecutate.
14.
EL MÉTODO C:\EXPLORER.EXE.
C:\Explorer.exe
Windows carga explorer.exe (normalmente ubicado en el directorio de Windows) durante el proceso de arranque. Sin embargo, si existe c:\explorer.exe, será ejecutado en lugar de Windows explorer.exe. Si c:\explorer.exe está dañado, el usuario se bloqueará de manera efectiva de su sistema después de reiniciarlo.
Si c:\explorer.exe es un troyano, será ejecutado. A diferencia de otros métodos de arranque automático, no hay necesidad de cambios en ningún archivo ni registro - el archivo simplemente se tiene que llamar c:\explorer.exe
15.
OTROS MÉTODOS.
Métodos adicionales de arranque. Los dos primeros son utilizados por el Troyano SubSeven 2.2.
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Usershell folders
Icq Inet
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agente\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agente\Apps\]
Esta clave especifica que todas las aplicaciones serán ejecutadas si ICQNET detecta una conexión a Internet.
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] = "Scrap object"
"NeverShowExt" = ""
Esta Key cambia las extensiones especificadas de los archivos.
Espero que esta recopilación de lugares donde se esconden los virus y los troyanos en el sistema Windows te haya sido de ayuda.
Traducción mia del artículo: http://www.governmentsecurity.org/SecurityHackingNews/Places_that_viruses_and_Trojans_hide_on_start_up
Entradas
