Bloquear programas en el inicio de Windows

Como continuación de los post Virus Policia I y Virus Policia II, vamos a hablar de una interesante herramienta para prevenir que el malware se ejecute de nuevo en el inicio del sistema, y así pueda bloquearlo.

Winlockless funciona de la siguiente manera. Evita que los programas modifiquen ciertos puntos del sistema para que se lancen de forma automática en el inicio de Windows. Es bastante sencillo: niega con un solo click el permiso de crear subclaves y establecer el valor (y en algunos casos, de borrar) sobre estas ramas implicadas en el arranque de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

HKCU\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run

HKLM\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run

HKCU\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx

HKLM\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx

Además protege la carpeta de inicio del usuario, y la rama:

SYSTEM\\CurrentControlSet\\Control\\SafeBoot

Evitando no solo crear sublclaves y establecer valores, sino también que se borre. Con esto nos aseguramos de que siempre podremos entrar en el modo seguro.

Las claves son protegidas tanto en su versión “nativa” de 64 bits como en las virtualizadas de 32 bits (bajo Wow6432node). Esto quiere decir que protegería tanto de programas nativos compilados en 64 bits como los de 32. Por ahora existe poco malware compilado de forma nativa para 64 bits, pero será común en el futuro.

Si las ramas no existen, las crea y establece los permisos para proteger así al usuario.

Estas son las claves más conocidas que suelen modificar los troyanos para iniciarse con el sistema y bloquearlo. Hay muchos otros puntos de inicio, pero que no son utilizados por la mayoría del malware. Por ejemplo, el malware de la policía, SpyEye, zbot… todos usan normalmente alguna de esas ramas para arrancarse al inicio. En última instancia, al proteger el modo seguro, el usuario se asegura de que siempre podrá entrar en ese modo sin alteraciones.

Siempre se aplicarán las reglas para el usuario bajo cuyo contexto se lanza el programa. Esto quiere decir que si se usan varios usuarios en el sistema, se debe lanzar para cada uno de ellos. Eso sí, el programa requerirá privilegios de administrador para modificar algunos permisos.

El programa permite tanto aplicar los cambios como revertirlos. Así, si el usuario necesita modificar esas ramas legítimamente, solo debe revertir temporalmente el bloqueo.