Autoruns es un programa popular para que Windows analice todos los diferentes archivos, programas y otros elementos que se ejecutan al iniciar el sistema.
Es probablemente la herramienta más usada para ese propósito, e incluye muchas características agradables como escanear archivos en Virustotal, ocultar entradas de Microsoft, o administrar archivos de ejecución automática para deshabilitar o eliminar elementos directamente desde el programa.
Evading Autoruns es un trabajo de investigación de Kyle Hanslovan y Chris Bisnett de Huntress que revela múltiples métodos de evasión que los usuarios maliciosos podrían utilizar para ocultar actividades en el ordenador o en una red.
Los investigadores revelan múltiples métodos que los atacantes pueden usar para ocultar su actividad. Los comandos anidados, por ejemplo, pueden utilizarse para ejecutar varios programas utilizando un único elemento de inicio. Estos comandos, por ejemplo &&, & o ||| combinan uno o varios comandos, normalmente añadiendo un comando malicioso después de un comando legítimo.
Uno de los problemas que surgen en Autoruns es que muchos usuarios han configurado el programa para ocultar las entradas de Microsoft, ya que muchos las consideran guardadas. El problema es que ocultar las entradas de Microsoft puede ocultar estas construcciones de comandos.
Otras técnicas que describen los investigadores de seguridad son:
- Indirección de Shell32.dll
- Secuestro de DLL
- Servicio SyncAppvPublishingService
- Servicio DLL Bug
- Error en la búsqueda de extensiones
- SIP Secuestro
- Scriptlets.INF
Los investigadores llegan a la conclusión de que Autoruns es una gran herramienta para enumerar programas y archivos de inicio, pero que no es una herramienta de seguridad.
Sugieren que los administradores y usuarios lo utilicen para enumerar los datos, y que analicen los datos que la herramienta recopiló por otros medios. Los atacantes usarán estas técnicas y otras más complejas para evadir la detección en Autoruns.
En lo que respecta a las cosas que usted puede hacer para hacer más difícil que los atacantes oculten algo, lo siguiente es útil:
- No oculte las entradas de Microsoft y Windows en Autoruns. Encontrará la opción en Opciones> Ocultar entradas de Microsoft y Opciones> Ocultar entradas de Windows. Esto muestra más datos, pero es importante verlos desde el punto de vista de la seguridad.
- Habilite las opciones “verificar firmas de código” y “comprobar virustotal.com” en Opciones> Opciones de escaneado.
- Revise cualquier entrada cmd.exe, pcalua o SyncAppvPublishingService.
- Revise todas las entradas y busque comandos anidados (puede ser más fácil usar las opciones de la línea de comandos para enumerarlos todos y usar operaciones de búsqueda para recorrer la lista).
Ahora Usted : ¿cómo enumera los elementos de autoejecución y los examina? (via Deskmodder, Technet)
Resumen Article NameEvading Autoruns, or: don’t rely solely on Autoruns for security DescriptionA look at the security research paper Evading Autoruns which describes methods to obfuscate autostart items in the popular Windows software.AuthorMartin BrinkmannPublisherGhacks Technology NewsLogo 
Publicaciones relacionadas:
Cómo trabajar con aplicaciones en la pantalla de inicio de Windows 8 
Ashampoo UnInstaller 5 revisión 
Disk Falcon es una aplicación de análisis de discos muy atractiva para Windows 8 
Pinner de la barra de tareas: anclar cualquier cosa a la barra de tareas de Windows 
Terminología de Microsoft para Windows 8 
Concéntrate en lo que haces: Crear Tareas de Trabajo basadas en Pomodoro 
Administrador de alias de Windows+R, Agregar accesos directos al cuadro de ejecución de Windows 
Cómo omitir Metro e ir directamente al Escritorio de Windows 8 
Corregir la falta de una bandeja del sistema en Windows 
Utilice F-Secure Easy Clean para analizar el sistema en busca de malware 
El dispositivo de protección del sueño impide que el equipo pase al modo de ahorro de energía 
Avast Free Antivirus 7 Final Released