Autoruns: Malware und andere schädliche Programme entdecken

Viele nutzen Autoruns um Programme am automatischen Start zu hindern. (Siehe auch hier im Tutorial). Aber Autoruns kann noch viel mehr. Denn man kann es zum Aufspüren von Malware oder anderen unliebsamen Programmen nutzen. In den letzten Wochen haben einige Sicherheitsforscher herausgefunden, dass es möglich ist Autoruns zu umgehen, wenn man sie mit einer Standardkonfiguration verwendet.

Ein Beispiel dafür sind Befehle für die Eingabeaufforderung. Hier kann man zwei Programme in einer Programmzeile nacheinander starten lassen, wenn man das “&” Zeichen dazwischen setzt. Setzt man zwei (“&&”) zwischen die Befehle, wird der zweite Befehl erst ausgeführt, wenn der erste erfolgreich abgeschlossen wurde. Setzt man zwei “|” Zeichen (“||”), dann wird der zweite Befehl nur ausgeführt wenn der erste fehlschlägt.

Dadurch war und ist es möglich, “böse” Programme hinter einem zertifizierten Programm ausführen zu lassen. Dies hat Autoruns vor der Version 13.80 nicht angezeigt. Wie man in den Bildern sehen kann. Nun hat man in der neuen Version nun verändert und man sieht unten anstatt das Icon der Vbox nun das der Eingabeaufforderung.

Auf der Seite von blogs.technet wird noch gezeigt, wie es auch möglich ist, legitime Programme auszuführen und andere Befehle zu verschleiern. Richtig ausführlich ist die PDF, die auf Github bereitgestellt wurde. Dort beschreibt man auch das DLL-Hijacking.

Eine interessante Geschichte, die zeigt, dass man sich nicht nur auf Antiviren-Programme und -Suiten verlassen muss, sondern man auch selber einen Blick hineinwerfen und überprüfen kann. Obwohl dies nur eine von vielen Methoden ist, Malware oder schädliche Programme auf unsere Rechner zu bringen.

Info und Download: docs.microsoft.com/downloads/autoruns