WinLockLess: Proteger el inicio de Windows contra malware

Windows Técnico

Sindicación

Proximos HOLs

Loading...

Como se indica en el titulo, WinLockLess es una herramienta gratuita creada por la empresa “Hispasec Sistemas” (programada por Sergio de los Santos en C# y diseñada por José Mesa) que no requiere de instalación alguna, permitiendo prevenir que el malware se ejecute de nuevo en el inicio del sistema.

 

image

Imagen1: WinLockLess en plena ejecución.

Este software evita que los programas modifiquen ciertos puntos del sistema, que hacen que se lancen éstas automáticamente en el inicio de Windows, y es de gran utilidad para combatir los malware que se inician con el sistema y lo bloquean, como el famoso “ransomware que simulaba un mensaje de la policía, troyano que tiene tantos usuarios afectados ha tenido en España y el resto del mundo.

Hay que dejar claro que la herramienta no es un antivirus por lo tanto no evitará infecciones ni mucho menos las elimina, básicamente añade una función extra de seguridad modificando algunas entradas claves del registro implicadas con el arranque de Windows, niega con un sólo clic el permiso de crear subclaves y establecer el valor (y en algunos casos, de borrar) sobre estas ramas implicadas en el arranque de Windows:

 

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows (v0.2)

Además protege la carpeta de inicio del usuario y la rama:

  • SYSTEM\\CurrentControlSet\\Control\\SafeBoot

Estas son las claves más conocidas que suelen modificar los troyanos para iniciarse con el sistema y bloquearlo.

Con esto nos dará la seguridad de que siempre podremos acceder en el modo seguro. Las claves son protegidas tanto en su versión “originaria” de 64 bits como en las virtualizadas de 32 bits (bajo Wow6432node). Esto quiere decir que protegería tanto de programas originarios compilados en 64 bits como los de 32bits.

La herramienta no requiere instalación, pero es imprescindible tener en el equipo como mínimo la versión 4 del .Net Framework , y para beneficiarse de sus capacidades sólo hay que ejecutarla una vez para aplicar los cambios en las ramas deseadas.

El usuario no debe notar ninguna incidencia en su sistema. Algunos programas legítimos querrán escribir en el registro, especialmente en:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

WinLockLess se lo impedirá y el usuario deberá restablecer las modificaciones en el registro, instalar el programa deseado, y volver a aplicar las modificaciones.

Más información y descarga: hispasec.com/winlockless/.

Para acabar, recuerda que si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos", o siempre puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.

 

clip_image002


Enviado may 03 2012, 07:19 por Jhonattan Fiestas

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above: