jueves, 13 de noviembre de 2008

Las claves "clave" de windows. Aquellas que inician programas

Las claves mas criticas son aquellas de las que se aprovechan los programas del tipo malware para iniciar programas y servicios a nuestras espaldas.
He aqui la lista:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Y aqui las mas críticas: Todo lo que se inicie mediante Winlogon se inicia tembien en modo seguro. Por lo que eliminar la clave, generalmente no sirve, ya que el malware se encarga de regenerarla. Aplicando algo de ingenio se resuelve el problema: entremos en modo consola y "renombremos" al maldito

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

A continuacion algunas claves que son tipicamente infectadas en el navegador Internet Explorer:
HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\Software\Microsoft\Internet Explorer\Main, Use Custom Search URL

HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\Software\Microsoft\Internet Explorer\TypedURLs

HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx\Software\Microsoft\Internet Explorer\New Windows\Allow

Y tambien
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main, Use Custom Search URL

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)