Ad ogni avvio di Windows vengono caricati una moltitudine di eseguibili, librerie e impostazioni (presenti in alcuni file di sistema) che rimangono attivi in memoria.
Tutto ciò, eccezion fatta per gli eseguibili che poi compaiono nella system tray, avviene senza che l’utente se ne renda conto. Il caricare in memoria impostazioni, librerie, eseguibili e processi multitask da parte di Windows durante la fase di avvio può portare ad un inutile utilizzo della RAM ed in secondo luogo ad un rallentamento dei tempi di avvio del sistema operativo, soprattutto quando questa procedura di Windows non viene controllata da un utente esperto.
La maggior parte dei software che vengono avviati automaticamente svolgono attività benigne, si pensi ad antivirus, antispyware, driver vari, ma esistono anche malware che con l’obiettivo di avviarsi automaticamente all’accensione del PC si insediano nelle chiavi del registro in modo da essere presenti in memoria e svolgere le loro funzioni dannose senza il consenso dell’utente.
a cartella Esecuzione automatica e le chiavi di avvio
Un metodo per impedire il rallentamento del sistema nella fase di avvio consiste nel controllo periodico dei programmi che si avviano con il Sistema Operativo, per questo bisogna controllare la cartella Esecuzione automatica e alcune chiavi del registro.
Controlliamo dunque le cartelle Esecuzione automatica nei seguenti percorsi:
C:\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica
C:\WINDOWS\All Users\Menu Avvio\Programmi\Esecuzione automatica
Entrambe le cartelle in genere potrebbero contenere collegamenti a dei programmi, per evitare l’avviarsi di un determinato programma č sufficente eliminare il collegamento.
Per controllare nel registro occorre invece aprire il relativo editor incluso in Windows:
Start > Esegui >Regedit >ok
Le chiavi da controllare sono:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
Queste chiavi possono contenere valori del genere Nome = C:\cartella\patch.exe.
Nell’esempio l’eseguibile patch.exe sarą eseguito ad ogni avvio.
Le chiavi CURRENT_USER si riferiscono all’utente al momento connesso, mentre le LOCAL_MACHINE si riferiscono a tutti gli utenti, le chiavi terminanti con RUN, a differenza di quelle terminanti con RUNSERVICES, eseguono i files e ne rendono disponibile il nome (sotto forma di processo attivo) all’interno del task manager che appare premendo Ctrl+Alt+Canc.
MSConfig
La stessa Microsoft a partire da Windows 9x mette a disposizione un piccolo tool all’interno della cartella C:\WINDOWS denominato msconfig.exe.
Questo tool permette la visualizzazione del contenuto dei files WIN.INI e SYSTEM.INI e della chiave del registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Startup Control Panel e Startup Monitor
Più ricchi ma non ancora sufficientemente completi sono i software prodotti da Mike Lin: Startup Control Panel (SCP) e Startup Monitor.
Il primo rende possibile il controllo delle cartelle:
C:\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica
C:\WINDOWS\All Users\Menu Avvio\Programmi\Esecuzione automatica
e delle chiavi:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Startup Monitor invece monitorizza chiavi e cartelle in tempo reale con lo scopo di avvisare l’utente sulla modifica o sull’inserimento di un eseguibile, lasciando libero l’utente di decidere se continuare con la scrittura del file all’interno dell’area controllata o meno (utile anche nel caso in cui si abbia a che fare con l’installazione di normali ma invadenti software).
Purge-It
Un terzo software relativamente buono è Purge-It, che funge anche da antitrojan.
Questo programma è in grado di:
Scandire, monitorare e mostrare in chiaro tutti i processi attivi ed i valori contenuti nelle chiavi:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Visualizzare il contenuto dei files Win.ini, System.ini, Wininit.ini, Autoexec.bat, Winstart.bat, Dosstart.bat, Control.ini, Msdos.sys e Config.sys;
Monitorare le cartelle Esecuzione automatica, All user startup, Windows e System;
Mostrare tutte le connessioni in atto le relative porte utilizzate, controllare eventuali applicazioni lanciate dal NetDetect di ICQ, controllare i VXD (driver virtuali) caricati ed installati.
Unica pecca è la non compatibilità con sistemi operativi Win2k, Xp e NT.
L’unico software che ha superato egregiamente la prova è Autoruns, utilità freeware di pochi Kb prodotto da Sysinternals, che permette di ottenere l’elenco completo dei programmi eseguiti ad ogni avvio di Windows. Il programma analizza tutte le chiavi alle quali gran parte dei programmi si appoggiano per autoeseguirsi. Autoruns è da preferirsi a MSConfig perché controlla anche chiavi del registro poco conosciute e perchè a differenza di esso permette di cancellare il riferimento dal registro.
MSConfig
L’Utilità Configurazione di Sistema aiuta ha stabilire quali sono i programmi da attivare o no all’avvio del pc. L’unico suo difetto è che controlla solo la chiave di registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ed i file WIN.INI e SYSTEM.INI e permette solo di disattivare l’eseguibile.
Procedura per usare MSConfig
Fare clic su Start > Esegui, Digitare msconfig e premere INVIO.
Selezionare la linguetta Avvio. Si rende visibile l’elenco di tutti i programmi che si avviano con il sistema. Così sì identificano i programmi utili (per esempio l’antivirus) e quelli che possono essere disattivati.
Per disattivare un programma cliccare sulla casella relativa per togliere il segno di spunta.
Al termine fare clic su OK.
Riavviare il computer. Apparirà una finestra di avvertimento che indicherà la disattivazione di alcuni programmi. Si può trascurare il messaggio e scegliere di non essere più avvisati.
In caso di problemi è sempre possibile riattivare i programmi necessari con lo stesso procedimento, facendo comparire il segno di spunta per i programmi da avviare. Facendo clic sul pulsante Abilita tutto saranno selezionati per l’avvio tutti gli elementi.
Download e Installazione
Autoruns dopo la fase di download si presenta come archivio .zip dalle dimensioni di qualche centinaio di kb. Una volta scompattato il file Autoruns.zip in una directory ci troviamo davanti a quattro file:
Autoruns.exe: esguibile ad interfaccia grafica.
Autorunsc.exe: eseguibile a riga di comando dal Prompt dei comandi.
Autoruns.chm: file della guida in linea.
Readme.txt: termini della licenza d’uso.
Per reperire la versione più aggiornata potete controllare sul sito Sysinternalsoppure far clic direttamente qui.
Autoruns.exe non necessita di setup d’installazione, è sufficiente fare un doppio clic sull’eseguibile per far avviare il programma e nel caso si voglia disinstallarlo è sufficiente cancellarlo tramite il Cestino senza doversi preoccupare di dover eliminare altri componenti.
Autorunsc.exe è esattamente lo stesso programma con l’eccezione che è necessario richiamarlo tramite riga di comando dal prompt.
La prima cosa che colpisce dopo aver avviato Autoruns è la grande quantità dei programmi in esecuzione automatica visualizzati. Il loro numero è enormemente superiore a quello visualizzato dall’utility MSConfig di casa Microsoft:
Ogni singola voce è suddivisa su quattro colonne che riportano nell’ordine:
– il nome dell’applicazione (Autorun Entry);
; – se registrata, una breve descrizione della voce (Description);
– un’eventuale Firma Digitale della software house che ha creato l’applicazione (Publisher);
– la cartella dove è salvata l’applicazione (Image Path).
Le schede
Everything
Contiene tutte le chiavi presenti nelle altre categorie.
Logon
In questa scheda vengono mostrati gli oggetti che utilizzano le modalità di startup standard, come la cartella Esecuzione automatica e le chiavi di registro RUN (viste precedentemente).
Explorer
Qui vengono visualizzati gli oggetti relativi alla shell di Explorer che comprendono:
le estensioni della shell (quelle che compaiono facendo clic destro su un oggetto)
gli oggetti BHO (Browser Helper Objects)
le toolbar
eventuali setup in esecuzione
Internet Explorer
Questa sezione mostra gli oggetti BHO, le toolbar e le estensioni relative al browser Internet Explorer. Spesso si trovano qui l’estensione dell’Acrobat Reader che permette di visualizzare i file PDF direttamente all’interno browser o l’integrazione con la Java di Sun.
Scheduled Task
Vengono visualizzati tutti i task che avete programmato tramite l’Utilità di Pianificazione di Sistema.
Services
Fornisce la lista dei servizi che sono configurati per la partenza automatica con Windows.
Drivers
In questa sezione sono elencati tutti I driver in kernel-mode registrati per l’avvio con il sistema. Non vengono mostrati quelli disabilitati.
[ Per un chiarimento sul kernel-mode potete leggere il nostro l’articolo sui Rootkit ]
Boot Execute
Vengono visualizzati gli elementi che sono eseguiti per primi durante la fase di boot del sistema operativo (come ad esempio le utilità di controllo del disco).
Image Hijacks
Questa particolare tecnica di avvio consente di personalizzare le opzioni di esecuzione dei programmi (spesso in kernel-mode). Viene usato ad esempio dai programmi che testano la RAM per accedervi direttamente.
AppInit
Fornisce la lista delle DLL registrate con il sistema che vengono caricate con tutti i processi.
KnowsDll
Spesso Windows carica all’avvio applicazioni che hanno delle estensioni o fanno riferimento ad alcune DLL: queste librerie sono segnalate qui.
Winlogon
Mostra gli oggetti registrati per le notifiche all’avvio di Windows. Vi si trova logonui.exe, responsabile dell’eventuale visualizzazione della schermata per la scelta dell’utente per l’accesso a Windows.
Winsock providers
Visualizza gli oggetti registrati con il protocollo Winsock (necessario per l’accesso ad internet). Spesso i malware si insediano qui perchè ci sono pochi strumenti in grado di rilevare questa tecnica di avvio.
L’antivirus NOD32 registra qui alcune librerie che permettono il corretto funzionamento del suo scanner HTTP integrato.
Print Monitor
Mostra le DLL che vengono caricate all’interno del servizio Spooler di stampa. Spesso le applicazioni che installano stampanti virtuali avviano in questo modo le loro estensioni (ad esempio i PDF creator).
LSA Providers
Visualizza i pacchetti sicuri, le notifiche e le autenticazioni LSA (Local Security Authority) registrate nel sistema.
Facendo clic sulla voce Options nel menù del programma è possibile scegliere se visualizzare anche le chiavi che non contengono alcun valore (Include Empty Locations), verificare attraverso una connessione Internet l’autenticità degli oggetti (Verify Code Signatures) e visualizzare o meno i processi di Microsoft (Hide Signed Microsoft Entries).
Se volete verificare a quali chiavi si riferisce ogni singola scheda vi consiglio di attivare l’opzione Include Empty Locations.
Disabilitazione
Ogni voce presente nelle categorie può essere disabilitata togliendo il relativo segno di spunta. Autoruns usa un metodo abbastanza originale per disabilitare le varie voci, togliendo il segno di spunta da una voce questa non viene eliminata dal registro di sistema ma salvata in una nuova chiave di nome Autoruns Disabled (vedi immagine seguente). In caso di riabilitazione della voce la stringa relativa viene ripristinata.
Ripristino
Ripristinare i valori di una chiave precedentemente disabilitata è un’operazione semplice in quanto è sufficiente rimettere il segno di spunta alla voce precedentemente disabilitata.
Eliminazione
Autoruns dà all’utente la possibilità di eliminare una determinata voce. Per fare ciò è sufficiente fare un clic destro sulla voce selezionata e scegliere Delete dal menù contestuale.
Nota: questa operazione, a differenza della altra, è irreversibile.
Il menù contestuale
Il menù contestuale coffre diverse altre opzioni.
Delete
Cancella la voce dal registro.
Copy
Copia negli appunti tutte le informazioni che riguardano la voce selezionata.
Verify
Verifica la provenienza del processo.
Jump to
Funzione che permette di lanciare l’Editor del Registro di configurazione incluso in Windows direttamente al percorso della chiave selezionata.
Google o MSN
Quante volte alla ricerca di un possibile malware ci siamo trovati di fronte ad un eseguibile con un nome che non faceva altro che aumentare i nostri dubbi? Nessun problema, facendo clic su questa opzione verrà utilizzato uno dei due motori di ricerca per trovare le possibili informazioni.
Process Explorer
Se presente apre un altro programma della Syintermals (un task-manager avanzato).
Properties
Cliccando si apre la classica finestra Proprietà del file interessato (vedi figura seguente): tramite questa finestra è possibile accertare diverse cose come ad esempio la data di creazione, la data dell’ultima modifica e la data dell’ultimo accesso all’oggetto. Inoltre è possibile accertare la versione e l’origine del file.
Proprietà del file