Todas as maneiras de se iniciar um programa junto ao Windows

 

Quem acompanha a invasao.com.br e nosso material já a algum tempo, com certeza sabe que existem maneiras de se esconder um programa de invasão do anti-vírus. Ora, se um cracker ou um hacker instalar um programa no meu computador e o anti-vírus não o detectar, como eu faço? Espero que esse documento ajude muita gente. Na coluna dessa semana, estão listados TODOS ao métodos que os programas usam para se instalar junto com o Windows. A coluna de hoje realmente é um pouco mais avançada. Acompanhe direitinho e qualquer dúvida é só enviar um e-mail para contato@invasao.com.br .

1. Pasta Auto-Iniciar
C:\windows\start menu\programs\startup {Inglês}
C:\windows\Menu Démarrer\Programmes\Démarrage {francês}
C:\windows\All Users\Menu Iniciar\Programas\Iniciar { Português}
O Diretório é salvo em:
* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
Startup="C:\windows\start menu\programs\startup"
* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
Startup="C:\windows\start menu\programs\startup"
* [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders]
"Common Startup"="C:\windows\start menu\programs\startup"
* [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders]
"Common Startup"="C:\windows\start menu\programs\startup"

Mudar para outro diretório que não seja o padrão (ex: C:\windows\start menu\programs\startup) fará
com que TODOS os programas na pasta (ou diretório) sejam executados.
Observação : o Subseven 2.2 usa esse método.

2. Win.ini

[windows]
load=file.exe
run=file.exe

3. System.ini
[boot]
Shell=Explorer.exe file.exe

4. c:\windows\winstart.bat

"Você pode criar esse bat com os comandos que quiser e ele será executado no início"

5. Registro

Para editar o registro, use o programa regedit. Clique no botão INICIAR, selecione EXECUTAR e escreva REGEDIT. O programa abrirá, como é mostrado abaixo. Sempre que você ver um texto entre colchetes ( [ ] ), é só seguir o caminho indicado pelas pastas do regedit.



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"qualquercoisa"="c:\runfolder\program.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"qualquercoisa"="c:\runfolder\program.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"qualquercoisa"="c:\runfolder\program.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"qualquercoisa"="c:\runfolder\program.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"qualquercoisa"="c:\runfolder\program.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"qualquercoisa"="c:\runfolder\program.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
"qualquercoisa"="c:\runfolder\program.exe"

6. c:\windows\wininit.ini
"Muito usado por SETUPs, é executado uma só vez e o Windows apaga o arquivo"
Examplo de arquivo wininit.ini :
[Rename]
NUL=c:\windows\foto.exe
" Esse exemplo envia c:\windows\foto.exe para NUL, o que significa que será deletada ".
E detalhe, roda totalmente invisível.

7. Autoexec.bat
Roda tudo a nível de DOS

8. Shell no registro
[HKEY_CLASSES_ROOT\exefile\shell\open\command] at ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] at ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] at ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] at ="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] at ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] at ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] at ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] at ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] at ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] at ="\"%1\" %*"

A chave deve ter um valor do Valor "%1 %*", se for mudada para "servidor.exe %1 %*", o servidor.exe
será executado TODA VEZ que um arquivo exe/pif/com/bat/hta for executado.
Utilizado pelo SubSeven como "Método desconhecido"

9. Icq Inet
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="teste.exe"
"Startup"="c:\\teste"
"Parameters"=""
"Enable"="Yes"
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\

Essa chave inclui todos os arquivos executados quando o ICQ detecta conexão com a Internet.

10. Explorer
Windows 95,98,ME
Explorer.exe é executado através de uma entrada no system.ini, mas não contem patch, ou seja
se c:\explorer.exe existir ele será executado ao invés de c:\$winpath\explorer.exe.
Windows NT/2000/XP
Durante a inicialização o Windows NT 4.0 , Windows 2000 e Windows XP consultam a entrada de registro "Shell",
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, para determinar o programa que será rodado como Shell.

Por padrão, o valor é Explorer.exe.


11. Componente Active-X
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName]
StubPath=C:\Diretório\arquivo.exe

Acredite ou não, isso inicia o arquivo.exe ANTES do shell (explorer.exe) e de qualquer outro
programa iniciado pelas chaves RUN

12. Informação interessante
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] at ="Scrap object"
"NeverShowExt"=""
A chave NeverShowExt têm a função de ESCONDER a extensão real de arquivos SHS.
Isso significa que se você renomear um arquivo como "Garota.jpg.shs" ele mostra apenas "Garota.jpg" em todos os programas, incluido o Windows Explorer. Se você acrescentar novos tipos de extensão, mais será escondido."
Para dúvidas, críticas ou sugestões, mande um e-mail para o autor da coluna:


Marcos Assuncao