WinLockLess, la herramienta que previene la ejecución de malware al inicio de Windows
Como vimos, el registro de Windows es una de las partes más importantes del arranque de Windows así es que la mayoría del Malware se camufla en el para ejecutarse en cada inicio del sistema. Herramientas como Autoruns, que vendrán de serie en Windows 8, permiten saber que componentes y programas arrancan cuando se inicia Windows.
Debido a esta problemática, el laboratorio de Hispasec ha desarrollado WinLockLess una herramienta que permite bloquear las claves del registro encargadas de iniciar componentes y ejecutables. Para ello la herramienta modificará los permisos de las siguientes ramas del registro:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindows NTCurrentVersionWinLogon
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows
SYSTEMCurrentControlSetControlSafeBoot
Para ejecutar la aplicación es necesario tener instalado la versión 4 de Microsoft .NET Framework y un usuario con permisos de administrador.
Esto no garantiza la inmunidad frente al malware pero será una barrera más de protección frente a las técnicas más comunes.