- Les Runs
- Clefs RunOnce
- Clefs Winlogon (Userinit, Shell etc).
- Clef Safeboot
- Quelques clefs Policies
Le programme n'est qu'en langue espagnole mais peux s'avérer utile pour les personnes qui souhaitent bloquer l'ajout de programmes au démarrage (malicieux ou non) chez des amis etc ou Maitriser les programmes au démarrage
~~
Le téléchargement : http://hispasec.com/winlockless/
Pour bloquer les clefs, cochez celles qui vous interressent et en bas à gauche, cliquez sur "Activar Cambios".
Vous pouvez demander à ce que le programme se lance au démarrage via l'option "Lanzar al inicio"
Mais cela n'est pas necessaire pour que les clefs soient bloquées.
Vous pouvez débloquer temporairement la protection par un clic droit / Desproteger Todo.
J'ai essayé le programme sur un Zbot qui se lance par une clef Run et effectivement, ce dernier ne créé pas la clef Run :
J'ai aussi essayé sur le Virus Gendarmerie.
Malheureusement le sample que j'ai ne fonctionne plus car les URLs utilisées sont tombées.
Le malware parvient à se lancer au démarrage car la clef utilisée n'est pas monitorée :
EDIT - ce n'est plus le cas avec la version 0.2 de WinLockLess.[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
load=
La policie pour bloquer regedit/taskmgr est aussi mis en place.
Par contre le malware ne supprime pas les clefs Safeboot ce qui peux permettre de lancer l'invite de commandes pour effectuer une restauration.
~~
EDIT :
La version 0.2 bloque la clef mentionnée ci-dessus :
La versión 0.2 con md5 B8FE5DCDBB456D8A9E5F24A2F9487471 y SHA1 e66029a63b952d8dc1df824b08aa2de350626388 contiene los siguientes cambios:
* Evita lanzar varias instancias del programa.
* Protege la rama del registro HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows