WinLockLess, la herramienta que previene la ejecución de malware al inicio de Windows

Como vimos, el registro de Windows es una de las partes más importantes del arranque de Windows así es que la mayoría del Malware se camufla en el para ejecutarse en cada inicio del sistema. Herramientas como Autoruns, que vendrán de serie en Windows 8, permiten saber que componentes y programas arrancan cuando se inicia Windows.

Debido a esta problemática, el laboratorio de Hispasec ha desarrollado WinLockLess una herramienta que permite bloquear las claves del registro encargadas de iniciar componentes y ejecutables. Para ello la herramienta modificará los permisos de las siguientes ramas del registro:

  
HKCUSoftwareMicrosoftWindowsCurrentVersionRun  
HKLMSoftwareMicrosoftWindowsCurrentVersionRun  
HKCUSoftwareMicrosoftWindows NTCurrentVersionWinLogon  
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon  
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun  
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun  
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx  
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx  
HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows  
SYSTEMCurrentControlSetControlSafeBoot  

Para ejecutar la aplicación es necesario tener instalado la versión 4 de Microsoft .NET Framework y un usuario con permisos de administrador.

Esto no garantiza la inmunidad frente al malware pero será una barrera más de protección frente a las técnicas más comunes.