Места Автозагрузки троянов и вирусов 2

Автор статьи: Беляев Алексндр aka gid ©

Сайт Автора: gidsoft.gorodok.net

E-mail Автора: gidsoft@gorodok.net

Дата публикации: 22.02.2005

Внимание!!! Данная статья дана только для ознакомления с возможными местами загрузки троянов и профилактики этих самых мест. За неправильное использование статьи редакция ответственности не несет!!!

И так начнем. В данной статье я постараюсь перечислить все известные мне места загрузки этой гадости под названием трояны и вирусы. Не так давно пришлось столкнуться с этим и потратить немало времени на поиск и удаление трояна и всех ссылающихся на него ключей реестра. И в результате моей крапотливой работы я насобирал более десятка мест для автозагрузки.

Загрузка из специальных папок

Основная. По идее все добропорядочные программы должны грузиться отсюда.
X:\Documents and Settings\Имя_Пользователя\Главное меню\Программы\Автозагрузка\
А также папка предназначенная для всех пользователей:
X:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\
и для вновь создаваемых пользователей:
X:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\

X:\WINDOWS\Downloaded Program Files\ обычно грузятся с IE

Системные файлы со списком загружаемых программ

win.ini в секции [windows] с параметром run=запускаемая_программа
system.ini в секции [driver32] с параметром вида "название_драйвера.уникальное_имя"=Путь_к драйверу.

X:\WINDOWS\inf\ здесь расположены драйвера устройств, иногда трояны заглядывают и туда.

Реестр (самая большая "дыра" в Windows)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\, большинство программ записываются в эти два ключа.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ одноразовый запуск программ

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\, вроде как должны быть плугины к IE.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Имя_прогаммы\,
при запуске Имя_прогаммы будет запускаться программа указанная в строковом параметре Debugger.

HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\VxD\ драйвера для 95/98
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ параметр BootExecute для запуска указанной программы на стадии загрузки Windows(программа должна уметь работать в чистом Dos)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\,
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ Сервисы и другие службы, параметры со знаком * перед названием ключа запускаются перед авторизацией пользователя.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries и ее подветки..

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices\ загружаются как драйвера устройств.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\ при загрузке любого пользователя.

послесловие

Еще некотрые совершенно обнаглевшие вирусы и трояны умеют встраиваться в список обновляемых файлов при обновлении Windows через интернет. Это я пока неуспел разобрать, но как разберусь сам обязательно поделюся опытом с вами.

На этом пока все, и помните, что неправомерное и неправильное использование вышеприведенной информации может привести к серьезным последствиям.