winLockLess : bloquer les clefs Run, Safeboot

Poster ici les programmes utiles que vous avez découverts
Malekal_morte
Site Admin
Site Admin
Messages : 98073
Inscription : 10 sept. 2005 13:57
Contact :

winLockLess : bloquer les clefs Run, Safeboot

Message par Malekal_morte » 15 avr. 2012 14:43

Voici un programme d'Hispasec Sistema qui permet de bloquer :
  • Les Runs
  • Clefs RunOnce
  • Clefs Winlogon (Userinit, Shell etc).
  • Clef Safeboot
  • Quelques clefs Policies

Le programme n'est qu'en langue espagnole mais peux s'avérer utile pour les personnes qui souhaitent bloquer l'ajout de programmes au démarrage (malicieux ou non) chez des amis etc ou Maitriser les programmes au démarrage

~~


Le téléchargement : http://hispasec.com/winlockless/

Pour bloquer les clefs, cochez celles qui vous interressent et en bas à gauche, cliquez sur "Activar Cambios".
Vous pouvez demander à ce que le programme se lance au démarrage via l'option "Lanzar al inicio"
Mais cela n'est pas necessaire pour que les clefs soient bloquées.

Vous pouvez débloquer temporairement la protection par un clic droit / Desproteger Todo.
Image

J'ai essayé le programme sur un Zbot qui se lance par une clef Run et effectivement, ce dernier ne créé pas la clef Run :
Image

J'ai aussi essayé sur le Virus Gendarmerie.
Malheureusement le sample que j'ai ne fonctionne plus car les URLs utilisées sont tombées.

Image

Le malware parvient à se lancer au démarrage car la clef utilisée n'est pas monitorée :
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
load=
EDIT - ce n'est plus le cas avec la version 0.2 de WinLockLess.

Image

La policie pour bloquer regedit/taskmgr est aussi mis en place.

Par contre le malware ne supprime pas les clefs Safeboot ce qui peux permettre de lancer l'invite de commandes pour effectuer une restauration.

~~

EDIT :

La version 0.2 bloque la clef mentionnée ci-dessus :
La versión 0.2 con md5 B8FE5DCDBB456D8A9E5F24A2F9487471 y SHA1 e66029a63b952d8dc1df824b08aa2de350626388 contiene los siguientes cambios:

* Evita lanzar varias instancias del programa.
* Protege la rama del registro HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Programmes utiles »