Места Автозагрузки троянов и вирусов 2
Автор статьи: Беляев Алексндр aka gid ©
Сайт Автора: gidsoft.gorodok.net
E-mail Автора: gidsoft@gorodok.net
Дата публикации: 22.02.2005

Внимание!!! Данная статья дана только для ознакомления с возможными местами загрузки троянов и профилактики этих самых мест. За неправильное использование статьи редакция ответственности не несет!!!

И так начнем. В данной статье я постараюсь перечислить все известные мне места загрузки этой гадости под названием трояны и вирусы. Не так давно пришлось столкнуться с этим и потратить немало времени на поиск и удаление трояна и всех ссылающихся на него ключей реестра. И в результате моей крапотливой работы я насобирал более десятка мест для автозагрузки.

Загрузка из специальных папок

Основная. По идее все добропорядочные программы должны грузиться отсюда.
X:/Documents and Settings/Имя_Пользователя/Главное меню/Программы/Автозагрузка/
А также папка предназначенная для всех пользователей:
X:/Documents and Settings/All Users/Главное меню/Программы/Автозагрузка/
и для вновь создаваемых пользователей:
X:/Documents and Settings/Default User/Главное меню/Программы/Автозагрузка/

X:/WINDOWS/Downloaded Program Files/ обычно грузятся с IE

Системные файлы со списком загружаемых программ

win.ini в секции [windows] с параметром run=запускаемая_программа
system.ini в секции [driver32] с параметром вида "название_драйвера.уникальное_имя"=Путь_к драйверу.

X:/WINDOWS/inf/ здесь расположены драйвера устройств, иногда трояны заглядывают и туда.

Реестр (самая большая "дыра" в Windows)

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/ и HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/, большинство программ записываются в эти два ключа.

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/ одноразовый запуск программ

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/, вроде как должны быть плугины к IE.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Имя_прогаммы/,
при запуске Имя_прогаммы будет запускаться программа указанная в строковом параметре Debugger.

HKEY_LOCAL_MACHINE/System /CurrentControlSet/Services/VxD/ драйвера для 95/98
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/ параметр BootExecute для запуска указанной программы на стадии загрузки Windows(программа должна уметь работать в чистом Dos)

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/,
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce/,
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/ Сервисы и другие службы, параметры со знаком * перед названием ключа запускаются перед авторизацией пользователя.

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/NameSpace_Catalog5/Catalog_Entries и ее подветки..

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Devices/ загружаются как драйвера устройств.

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit/ при загрузке любого пользователя.

послесловие

Еще некотрые совершенно обнаглевшие вирусы и трояны умеют встраиваться в список обновляемых файлов при обновлении Windows через интернет. Это я пока неуспел разобрать, но как разберусь сам обязательно поделюся опытом с вами.

На этом пока все, и помните, что неправомерное и неправильное использование вышеприведенной информации может привести к серьезным последствиям.

 

Список похожих статей