Wichtiger Schutz - Seite 2

Autostart verhindern

Autostart verhindern
Eine der grössten Bedrohungen heutzutage geht von Backdoor-Programmen aus (Trojanern). Diese erlauben - einmal installiert - die Fernsteuerung eines PC über ein LAN oder das Internet. Die meisten Pings, die von Intrusion Detection Systemen wie Black Ice erkannt werden, sind Trojaner Pings - SubSeven ist am meisten verbreitet. Jeder Trojaner muss irgendwie aktiviert werden, am besten beim Start des Betriebssystems. Dafür gibt es ein Fülle von Möglichkeiten.

Die einfachste Art, ein Programm unter Windows 98 automatisch zu starten, besteht darin, es in den Autostart-Ordner zu kopieren. Windows führt alle Programme in diesem Ordner beim Startvorgang aus. Per Voreinstellung ist der Autostart-Ordner in c:\Windows\Startmenü\Programme\Autostart gespeichert. Das lässt sich aber über einen Eingriff in die Registrierung ändern. Im Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

gibt der Wert Startup den Pfad zum Autostart-Ordner an. Der Pfad lässt sich somit leicht ändern. Solcher Art selbständig startende Programme sind allerdings leicht erkennbar. Auch über die noch aus Windows 3.x-Tagen bekannten Ini-Dateien lassen sich Programme ausführen. So kann man im Abschnitt [windows] der win.iniam Anfang der Datei ebenso selbstartende Programe eintragen:

[windows] load=Programm.exe run=Programm.exe

In der system.ini sorgt die Zeile

shell=Explorer.exe c:\windows otepad.exe c:\autoexec.bat

im Abschnitt [boot] ebenfalls für das automatische Ausführen eines Programms beim Windows-Start. In diesem Beispiel wird Notepad gestartet. Natürlich lässt sich auch die Autoexec.bat benutzen, allerdings wird diese Datei nur beim Öffnen einer DOS-Box abgearbeitet. Besser geeignet ist winstart.bat im Windows-Ordner, eine ganz normale Batchdatei, die vor dem Starten von Windows ausgeführt wird. Alle diese Methoden haben den Nachteil, dass sie leicht erkennbar sind. Besser geeignet sind daher Autostart-Einträge in der Registrierung. Schlüssel, die immer beachtet werden, sind:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Diese vier Schlüssel werden jedesmal ausgeführt, wenn sich ein Anwender anmeldet. Die nächsten beiden Schlüssel sind beim Login wichtig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce

Sie starten Systemdienste wie die Remote Registrierung.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup wird nach dem Setup von Windows aufgerufen oder wenn über Systemsteuerung/Software Programme (de-)installiert werden. Eine Prüfung auf installierte Autostart-Programme nehmen zum Beispiel fast alle Trojaner-Scanner vor, zum Beispiel das Freeware-Programm ANTS. Sie finden die betroffenen Programme und bieten eine Säuberung.

Artikel kommentieren