Viele nutzen Autoruns um Programme am automatischen Start zu hindern. (Siehe auch hier im Tutorial). Aber Autoruns kann noch viel mehr. Denn man kann es zum Aufspüren von Malware oder anderen unliebsamen Programmen nutzen. In den letzten Wochen haben einige Sicherheitsforscher herausgefunden, dass es möglich ist Autoruns zu umgehen, wenn man sie mit einer Standardkonfiguration verwendet.
Ein Beispiel dafür sind Befehle für die Eingabeaufforderung. Hier kann man zwei Programme in einer Programmzeile nacheinander starten lassen, wenn man das „&“ Zeichen dazwischen setzt. Setzt man zwei („&&“) zwischen die Befehle, wird der zweite Befehl erst ausgeführt, wenn der erste erfolgreich abgeschlossen wurde. Setzt man zwei „|“ Zeichen („||“), dann wird der zweite Befehl nur ausgeführt wenn der erste fehlschlägt.
Dadurch war und ist es möglich, „böse“ Programme hinter einem zertifizierten Programm ausführen zu lassen. Dies hat Autoruns vor der Version 13.80 nicht angezeigt. Wie man in den Bildern sehen kann. Nun hat man in der neuen Version nun verändert und man sieht unten anstatt das Icon der Vbox nun das der Eingabeaufforderung.
Auf der Seite von blogs.technet wird noch gezeigt, wie es auch möglich ist, legitime Programme auszuführen und andere Befehle zu verschleiern. Richtig ausführlich ist die PDF, die auf Github bereitgestellt wurde. Dort beschreibt man auch das DLL-Hijacking.
Eine interessante Geschichte, die zeigt, dass man sich nicht nur auf Antiviren-Programme und -Suiten verlassen muss, sondern man auch selber einen Blick hineinwerfen und überprüfen kann. Obwohl dies nur eine von vielen Methoden ist, Malware oder schädliche Programme auf unsere Rechner zu bringen.
Info und Download: docs.microsoft.com/downloads/autoruns
Was ich zur allg. Prüfung besser finde: https://www.comodo.com/business-security/network-protection/cleaning-essentials.php
Das prüft auch über Hashwerte und Signaturen mit einer Datenbank, ob die Dateien legitim sind. Zwar besteht bei MS Autoruns auch die Möglichkeit Signaturen zu prüfen aber eben nur, wenn diese vorhanden ist und es wird auch nicht standardmäßig gemach – wie viele stellen das schon um? Und ist man sich bei einer Datei nicht sicher, gibt es im Forum Infos, um die Daten zu prüfen sowie prüfen zu lassen und dann ggf in die Whitelist aufzunehmen. Nutz man CIS, integriert sich das sogar schön in die Taskleiste des Agents.
Allg. finde ich die Anleitung für wenig Erfahrene ideal: https://www.techsupportalert.com/content/how-know-if-your-computer-infected.htm