Bonjour,
Avec l'aimable autorisation de l'auteur,
Sujet d'origine: http://gladiator-antivirus.com/forum/in ... opic=24610
.................................................................................Mise à jour: 09/02/2015
Une collection d'emplacements de démarrage automatique, par TonyKlein
Voici une liste d'emplacements de démarrage automatique Windows. N'importe lequel de ces emplacements de démarrage peut être et, bien évidemment, sera utilisé à la fois par des applications légitimes et par des nuisibles comme des chevaux de Troie, des virus, des vers, des espiogiciels et des logiciels publicitaires.
1. Dossier Démarrage
Windows 95, 98, Millennium
Le dossier Démarrage de l'utilisateur ayant ouvert la session:
C:\Windows\Menu Démarrer\Programmes\Démarrage
et le dossier Démarrage "Global" (tous utilisateurs):
C:\Windows\All Users\Menu Démarrer\Programmes\Démarrage
Windows XP et 2000:
C:\Documents and Settings\"Nom utilisateur"\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Windows Vista/7:
C:\Users\"Nom utilisateur"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Le nom et l'emplacement de ce dossier de démarrage automatique sont inscrits dans les clés de Registre:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Startup="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)
Startup="C:\Documents and Settings\"Nom utilisateur"\Menu Démarrer\Programmes\Démarrage"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Startup="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)
Startup="C:\Documents and Settings\"Nom utilisateur"\Menu Démarrer\Programmes\Démarrage"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders
"Common Startup"="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)
"Common Startup"="C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders
"Common Startup"="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)
"Common Startup"="C:\Documents and Settings\All UsersMenu Démarrer\Programmes\Démarrage"
Remplacer ce dossier de démarrage automatique par autre chose que les valeurs ci-dessus entraînera l'exécution de TOUS les programmes (ou liens vers les programmes) situés dans le nouveau dossier.
Exemples de nuisibles utilisant cette méthode ou des méthodes similaires:
W32/Toffus.A
Troj/Wock32-A
Troj/Optix-03C
2. Win.ini
Windows 9x
[windows]
load=file.exe
run=file.exe
Windows NT/2000/XP/Vista:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"=""
"load"=""
Programs Automatically Start When User Logs on to Windows
Si, dans des systèmes basés sur NT, Windows trouve dans des fichiers .ini des sections qui ne sont pas présentes dans le Registre, ces sections seront automatiquement inscrites dans le Registre.
Exemples:
Backdoor.Cycbot
WORM_LOVGATE.AB
VBS.Grez
3a. System.ini (Windows 95/98/Millennium)
[boot]
Shell=Explorer.exe file.exe
3b. Winlogon\\Shell (Windows XP/NT/2000/Vista/7)
Windows XP/NT/2000
Lors du démarrage système, Windows XP, NT et Windows 2000 consultent la valeur "Shell" de la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon pour trouver le nom de l'exécutable qui doit être chargé en tant que Shell (interpréteur de commandes).
Par défaut, cette valeur désigne Explorer.exe.
Ceci peut aussi être indiqué en fonction du profil de l'utilisateur (c-à-d., dans les clé & valeur de Registre similaires sous HKEY_CURRENT_USER).
Exemples de nuisibles utilisant cette méthode de démarrage:
Trojan.Astry
W32.Imaut.BH
De même dans les clés ci-dessous, une valeur "Shell" peut être utilisée pour désigner une autre interface utilisateur (Windows 2000/XP/Vista/7):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
En outre, le système recherche Explorer.exe au démarrage, en commençant dans le dossier racine C:\ et en s'arrêtant sur C:\Windows\explorer.exe
Si le nuisible se nomme "explorer.exe" et s'il est situé à la racine de la partition, le fichier sera lancé sans qu'il soit nécessaire de modifier le moindre fichier de démarrage, et il pourra ensuite lancer le véritable explorer.exe sans que l'utilisateur s'aperçoive de quoi que ce soit.
4. c:\windows\winstart.bat (Windows 95, 98)
Se comporte comme un fichier batch .bat normal. Utilisé pour copier ou supprimer des fichiers particuliers. En démarrage automatique à chaque fois.
Parfois utilisé aussi par des nuisibles:
Backdoor.Optix
VBS/Cuerpo@MM
Troj/Nettroj-A
5a. Clés de Registre Run/RunOnce/RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices (Windows 95/98/ME seulement)
"Quelconque"="c:\dossier\programme.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce (Windows 95/98/ME seulement)
"Quelconque"="c:\dossier\programme.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Quelconque"="c:\dossier\programme.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
"Quelconque"="c:\dossier\programme.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Quelconque"="c:\dossier\programme.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"Quelconque"="c:\dossier\programme.exe"
Uniquement sur Windows 7 64-bit, il y a aussi:
HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run
... utilisé pour stocker les éléments en démarrage automatique pour les logiciels 32-bit sur les systèmes 64-bit
INFO : Run, RunOnce, RunServices, RunServicesOnce et Startup (Q179365)
Definition of the RunOnce Keys in the Registry (Q137367)
A definition of the Run keys in the Windows XP registry (en français: Définition des clés Run dans le registre de Windows XP)
Exemples de nuisibles utilisant ces clés:
Backdoor:MSIL/Noszbot
Worm:Win32/Slenfbot.AKD
Worm:VBS/Cantix.A
Worm:Win32/Arhost.A
5b. Clé RunOnceEx (tous systèmes d'exploitation)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Description of the RunOnceEx Registry Key (en français: Description de la clé de registre RunOnceEx)
Syntax for the RunOnceEx Registry Key (en français: Syntaxe de la clé de Registre RunOnceEx)
5c. Terminal Server, Clés de Registre Run/RunOnce/RunonceEx (Windows NT/2000/XP/Vista/7)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
Fréquemment utilisé par des nuisibles:
Worm:Win32/Pushbot.QV
Worm:Win32/Neubreku.C
W32/Spybot.worm!dy
6a. wininit.ini (Windows 9x)
Souvent utilisé par des programmes d'installation; lorsque le fichier existe il est lancé UNE SEULE FOIS puis il est supprimé par Windows.
Exemple de contenu de wininit.ini:
[Rename]
NUL=c:\windows\picture.exe
Dans cet exemple, C:\Windows\picture.exe est envoyé vers NUL, ce qui signifie qu'il est supprimé. Ceci ne nécessite aucune interactivité avec l'utilisateur, et peut être exécuté de façon complètement furtive.
Plus d'infos sur Wininit.ini: HOWTO: Move Files That Are Currently in Use
Exemples de nuisibles utilisant Wininit.ini:
W97M.Heathen.12288.A
W32/Netlip
W32.Netlip.Worm
6b. PendingFileRenameOperations (Windows NT/2000/XP/Vista/7)
Windows XP/NT n'utilisent pas Wininit.ini. A la place, ils utilisent une valeur "PendingFileRenameOperations" de type REG_MULTI_SZ dans la clé de Registre ci-dessous:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"PendingFileRenameOperations"
Plus d'infos sur la valeur de Registre PFRO: How to replace in-use files at Windows restart
Exemples de nuisibles utilisant PendingFileRenameOperations:
Trojan.Alemod
W32.Goner.A@mm
W32.Stration.DE@mm
On peut aussi trouver ici une autre valeur de type Chaîne multiple: ExcludeFromKnownDlls
En voici l'explication: La clé KnownDlls liste les DLLs qui ne peuvent être lancées que depuis le dossier système. Si un fichier de même nom se trouve dans le dossier d'un programme, il ne sera pas exécuté. La version située dans System32 sera exécutée à sa place.
Voici l'article de MS: INFO: Windows Uses KnownDLLs Registry Entry to Find DLLs
7. Autoexec.bat (Windows 95, 98)
Vient de automatically executed batch file - fichier batch exécuté automatiquement, le fichier que DOS exécute automatiquement quand un ordinateur démarre.
Note: Windows Millennium ignore AutoExec.bat sauf pour en extraire les déclarations Set, Path et Prompt puis les intégrer dans le Registre.
8. Clés de Registre de génération de commandes (Windows NT 4.0/2000/XP/Vista/7)
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\shell\open\command
HKEY_CLASSES_ROOT\http\shell\open\command
HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
HKEY_CLASSES_ROOT\htmlfile\shell\print\command
HKEY_CLASSES_ROOT\inffile\shell\install\command
HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_CLASSES_ROOT\regfile\shell\open\command
HKEY_CLASSES_ROOT\regfile\shell\merge\command
HKEY_CLASSES_ROOT\vbsfile\shell\open\command
HKEY_CLASSES_ROOT\vbefile\shell\open\command
HKEY_CLASSES_ROOT\jsfile\shell\open\command
HKEY_CLASSES_ROOT\jsefile\shell\open\command
HKEY_CLASSES_ROOT\wshfile\shell\open\command
HKEY_CLASSES_ROOT\wsffile\shell\open\command
HKEY_CLASSES_ROOT\scrfile\shell\open\command
HKEY_CLASSES_ROOT\scrfile\shell\config\command
HKEY_CLASSES_ROOT\txtfile\shell\open\command
... et caetera
La valeur par défaut pour les clés de ce type devrait être "%1" %*
Si ceci est modifié en server.exe "%1 %*", le programme server.exe sera exécuté A CHAQUE FOIS qu'un fichier exe/pif/com/bat/hta/txt sera lancé.
Cette méthode de lancement est utilisée par un grand nombre de vers et chevaux de Troie:
VBS.Invadesys.A
Quelques exemples d'autres sous-clés dont la valeur par défaut peut aussi être modifiée par un nuisible:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
HKEY_CLASSES_ROOT\Directory\Shell\"KeyName"\Command
HKEY_CLASSES_ROOT\Folder\shell\open\command
HKEY_CLASSES_ROOT\Folder\shell\explore\command
HKEY_CLASSES_ROOT\Drive\shell\find\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Quelques lectures:
W32.Autex.C
VBS_IPNUKER.A
TR/PSW.Lmir.51944
... ainsi que la valeur par défaut de la chaîne "Command" dans les clés:
HKEY_CLASSES_ROOT\.lnk\ShellNew
HKEY_CLASSES_ROOT\.bfc\ShellNew
Voir Infostealer.Wowcraft.B
De plus, dans les systèmes basés sur NT, la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts peut être utilisée pour associer à une extension de fichier donnée une application autre que celle définie à l'origine.
Par exemple, allez jusqu'à la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt
Cliquez sur .txt et vous verrez dans le panneau de droite une valeur chaîne nommée "Application". Changez sa valeur et saisissez le nom de l'exécutable que vous voulez utiliser. Pas de chemin d'accès. Seulement Notepad.exe ou EditPad.exe ou Wordpad.exe, etc. S'il n'y a pas de valeur chaîne nommée "Application", créez-la.
Faites ensuite un double clic sur un fichier texte, et il sera ouvert dans l'application que vous avez saisie. De la même manière, un nuisible peut détourner n'importe quelle sous-clé de ce genre afin qu'il soit lui-même exécuté quand un fichier du type concerné est lancé.
Une lecture utile: Mastering File Types in Windows XP
Un exemple de nuisible utilisant cette méthode:
TR/KillFiles.JA
9. Icq Inet
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\
Quand ICQNET détecte une connexion internet TOUTES les applications présentes dans cette clé sont exécutées.
Exemples de nuisibles utilisant cette méthode de démarrage:
Trojan-PSW.Win32.Coced.219.b
W32/Ronoper-G
10. Dosstart.bat (Windows 95, 98 )
C'est un fichier batch normal en format texte. Il contient des instructions identiques à celles contenues dans autoexec.bat mails il y a une différence importante: le moment où il est exécuté.
Alors que autoexec.bat s'exécute tout de suite lors du démarrage du système, dosstart.bat ne s'exécute que lorsque, sous Windows 95/98, vous sélectionnez l'option "Redémarrer en mode MS-DOS" depuis le menu Arrêter.
A ce moment-là Windows s'arrête avec des instructions pour redémarrer DOS mais pas l'interface Windows. DOS exécute alors le fichier dosstart.bat qui en général charge un pilote souris, un pilote pour le CD ROM, et parfois quelques autres pilotes.
11. Composant Active-X (tous systèmes d'exploitation)
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName
StubPath=C:\CheminVersLeFichier\NomDuFichier.exe
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\KeyName
StubPath=C:\CheminVersLeFichier\NomDuFichier.exe
Ceci lance NomDuFichier.exe AVANT le shell (interpréteur de commandes) et tout autre programme lancé via les clés Run.
A chaque fois qu'un NOUVEL utilisateur ouvre une session, la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{GUID} sera comparée avec la clé similaire de la branche CurrentUser, et la commande définie dans StubPath (qui peut être n'importe quoi) sera exécutée.
Exemples de nuisibles utilisant cette méthode:
Worm:Win32/Hamweq.A
PWS:Win32/OnLineGames.GR
Backdoor.Bifrose.E
Trojan.Dazheb
12. Valeur de Registre UserInit (NT/2000/XP/Vista/7)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="C:\WINDOWS\system32\userinit.exe,
Exécutée lorsqu'un utilisateur ouvre une session. Un autre programme peut être ajouté après la virgule.
Exemples de nuisibles utilisant cette méthode:
W32.Ramnit.B
Trojan.Zbot
Trojan.Astry
W32.Mabezat.A
13. AppInit_DLLs (Windows NT 4.0/2000/XP/Vista/7)
Clé de Registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"=""
Les DLLs indiquées dans cette valeur sont chargées en mémoire processus des applications qui sont lancées après cette modification du Registre.
Infos: Working with the AppInit_DLLs Registry Value
Exemples de nuisibles utilisant cette méthode:
Backdoor.Ginwui
W32/Elkern.cav
Trojan.Riler.E
14. Clés de Registre RunOnce\Setup (tous systèmes d'exploitation)
Normalement utilisé seulement lors d'une installation (setup) de programme. Une boîte de dialogue affichant la progression est affichée car les clés sont lancées l'une après l'autre.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
Valeur chaîne > un programme ou un fichier
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
Valeur chaîne > un programme ou un fichier
15. ShellServiceObjectDelayLoad (tous systèmes d'exploitation)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Exécuté par Explorer.exe dès qu'il a été chargé.
Le format des valeurs dans cette clé est en quelque sorte similaire à celui trouvé dans les clés Run, mais elle pointe vers le InProcServer du CLSID au lieu de pointer vers un fichier.
Exemples de nuisibles utilisant cette méthode de démarrage:
Trojan.Mixpel
Trojan.SpamThru
W32.Banwarum.G@mm
16. Démarrage via le Planificateur de tâches
Windows exécute des instructions de lancement automatique dans le Planificateur de tâches Windows (ou tout autre planificateur qui complète ou remplace le Planificateur de tâches Windows). Le Planificateur de tâches est un composant officiel de toutes les versions de Windows à l'exception de la première version de Windows 95, mais il est inclus dans Windows 95 si le Pack Microsoft Plus! a été installé.
Un fichier .job décrivant la tâche est placé dans le dossier %WinDir%\Tasks ( Vista+: %WINDIR%\System32\Tasks\ ):
Exemple de nuisible utilisant cette méthode:
W32.Cone.D@mm
17. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler (tous systèmes d'exploitation)
Les DLLs référencées dans cette clé de Registre sont chargées au démarrage.
Exemples de nuisibles utilisant cette méthode de démarrage automatique:
Adware.CWSConyc
Trojan.Desktophijack
Troj/Hasum-A
18. Clés Policies Run (Windows ME/NT/2000/XP/Vista/7)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\n'importe quelle sous-clé
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
Valeur chaîne > chemin vers un programme ou un fichier
Exemples de nuisibles utilisant cette méthode de démarrage:
Backdoor.Samkams.B
W32.Spyrat
WORM_AUTORUN.BSE
Troj/Prorat-D
19a. HKEY_CLASSES_ROOT\PROTOCOLS\Filter (tous systèmes d'exploitation)
Ce n'est pas vraiment une méthode de lancement automatique, mais un emplacement où certains nuisibles enregistrent un filtre permanent afin de mettre en oeuvre un détournement (hijack):
Trojan.Popdis
Adware-LinkMaker
Troj/Tofger-AI
Lire l'article technique de Microsoft: Pluggable MIME Filters
19b. HKEY_CLASSES_ROOT\PROTOCOLS\Handler (tous systèmes d'exploitation)
Des gestionnaires (handlers) peuvent être enregistrés pour divers protocoles.
Exemples de nuisibles utilisant cette clé:
W32/FunLove.gen!4218105ea36b
Total Protect 2009
20. Fichiers Virtual Device Driver (VxDs) (pilote de périphérique virtuel) dans les systèmes Windows 9x
Chargés depuis System.ini ( section [386enh] )
Et depuis la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\VxD
Plus d'infos sur les VxDs: The Windows 98 Startup Process et sur Wikipedia: VxD
Exemples de nuisibles utilisant cette méthode:
DonaldD.Trojan.C
Virus.Win9x.MrKlunky.a
Keylog-Skin98
21. Services (systèmes basés sur NT comme Windows XP, Vista, Win7)
Dans le Registre: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
De nombreux vers et chevaux de Troie utilisent aussi cette méthode de lancement:
TrojanDropper:Win32/Machime.A
W32.Zimuse.B
Trojan.Daum
Trojan.Boxed.A
De même, un nuisible peut corrompre un service existant en modifiant sa valeur chaîne ServiceDLL, de façon à ce que le nuisible soit exécuté à la place du fichier légitime lorsque le service est démarré, ce que l'on voit ici (Backdoor.Wualess.B)
Remarque: Dans Windows NT/2000/XP on peut utiliser l'utilitaire du NT resource kit nommé AUTOEXNT (autoexec pour NT)
Le service AutoExNT vous permet de lancer un fichier batch personnalisé, Autoexnt.bat, au démarrage de l'ordinateur - sans avoir à ouvrir une session sur l'ordinateur sur lequel il sera exécuté.
Voir: How to Run a Batch File Before Logging on to Your Computer
22. Layered Service Providers
Dans des sous-clés de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
Les LSPs (Layered Service Providers) sont des petits programmes qui peuvent être ajoutés ou insérés dans la chaîne du contrôleur Windows TCP/IP par un autre programme. Les données sortant de votre ordinateur vers une destination légitime sur l'Internet peuvent être interceptées par un LSP et envoyées vers une autre destination non prévue.
Il sont exécutés avant l'ouverture d'une session par l'utilisateur.
Exemples de nuisibles mettant en oeuvre des LSPs:
Trojan.Riler.C
TR/PSW.Maran.G.5
BackDoor-CZX
23. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW (Windows NT 4.0/2000/XP/Vista/7)
Définit la ligne de commande qui est lancée quand une application basée sur MS-DOS est exécutée sous Windows NT+. Cette ligne de commande continue à être exécutée jusqu'à ce que l'application associée soit fermée.
La valeur wowcmdline définit la ligne de commande qui est exécutée quand une application Windows 16-bit est lancée. Les commutateurs disent à Windows NT de lancer soit une "VDM" (Virtual Dos Machine - Machine DOS virtuelle) MS-DOS soit une "VDM" WOW.
Plus d'informations: REG: CurrentControlSet Entries PART 3 et dans cet article (en anglais).
24. Démarrage de l'Économiseur d'écran (Windows NT·4.0/2000/XP/Vista/7)
Windows NT+:
HKEY_CURRENT_USER\Control Panel\Desktop
Valeur chaîne scrnsave.exe = nuisible.scr
Exemples de nuisibles utilisant cette méthode:
Trojan.Hiween
Backdoor.Botex
Dans les systèmes sous Windows 9x, le fichier System.ini est utilisé:
[boot]
SCRNSAVE.EXE=nuisible.exe
Exemple de nuisible utilisant cette méthode:
W32.HLLP.Lassa
25. Config.nt et Autoexec.nt dans Windows NT4/2000/XP
Fichier:
%SYSTEMROOT%\SYSTEM32\config.nt
%SYSTEMROOT%\SYSTEM32\autoexec.nt
Un exemple: VBS/Calma (ajout dans la traduction française)
26. La valeur de Registre BootExecute dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager (NT/2000/XP/Vista/7)
Contient les noms et arguments des programmes qui sont exécutés par le Gestionnaire de session (Session Manager). Le Gestionnaire de session recherche dans le dossier %WinDir%\system32 les exécutables listés ici.
Exemple d'un cheval de Troie utilisant cette méthode:
Troj/TheMouse-A
Autres valeurs intéressantes dans cette clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"Execute"=
"SetupExecute"=
27. Winlogon\Notify (Windows XP/2000/NT)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Une autre clé de Registre bien connue, ajoutée pour transmettre à Winlogon.exe et lui indiquer quelles procédures lancer lors d'une notification d'événement. Une DLL référencée ici sera exécutée dans un processus niveau SYSTEM, sans se soucier de l'ouverture d'une session par l'utilisateur.
Exemples de nuisibles utilisant cette méthode:
W32/Lamud.worm
Adware.Look2Me
Troj/Haxdoor-U
W32.Naras
28. La valeur "AutoRun" dans les clés de Registre HKEY_LOCAL_MACHINE (et HKEY_CURRENT_USER)\Software\Microsoft\Command Processor (Windows NT 4.0/2000/XP/Vista/7)
Lorsque CMD.EXE se lance, il cherche les variables de Registre de type REG_SZ/REG_EXPAND_SZ ci-dessus, et si l'une ou les deux sont présentes, elles sont exécutées avant.
Exemples de nuisibles utilisant cette méthode:
W32/Autorun-ZI
Trojan.Watsoon.A
W32.Rungbu.C
29. Stratégies de script (Script Policies) (Windows NT/2000/XP/Vista/7)
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts
Startup = C:\winNT\system32\GroupPolicy\Machine\Scripts\Startup
Startup = C:\winNT\system32\GroupPolicy\User\Scripts\Logon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts (Vista+)
De même, un script d'ouverture de session, qui n'est lancé que pour un utilisateur lorsqu'il se connecte à un Terminal Server via le client Terminal Server ou via la console, peut être ajouté dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"AppSetup"=
30. GinaDLL (Windows NT/2000/XP/7)
Windows NT par défaut charge et exécute la DLL GINA standard de Microsoft (MSGina.dll). Pour charger une autre DLL GINA (Graphical Identification and Authentication dynamic-link library - bibliothèque de liens dynamiques d'identification graphique et d'authentification) , une valeur "GinaDLL" doit être créée dans la clé de Registre ci-dessous:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
La valeur GinaDLL doit contenir le nom d'une DLL GINA, que Winlogon chargera et utilisera.
Un exemple de nuisible utilisant cette méthode:
Troj/Gina
A suivre ...