Les points de chargement ou autoruns de Windows

Les points de chargement de Windows ou Autoruns sont des emplacements qui permettent à une application de se charger au démarrage de Windows.
Cela permet donc à une application de se rendre actif lorsque Windows démarre.
Par exemple ajouter une icône dans la zone de notification (systray).
Les logiciels malveillants utilisent ces autoruns pour se rendre actif au démarrage de Windows.
Il convient donc de les surveiller pour plusieurs raisons :

  • S’assurer qu’aucun malware n’est présent sur l’ordinateur
  • Limiter les programmes au démarrage de Windows pour lutter contre les lenteurs. Lors d’une optimisation, c’est l’une des première chose à faire.

Voici un tour d’horizon de ces points de chargements de Windows.

Les points de chargement ou autoruns de Windows

Les points de chargement ou autoruns de Windows

Il existe des centaines de points de chargements sur Windows, tous les énumérer serait donc très difficile.
Voici quelque uns des points de chargement les plus courants et utiliser notamment par les applications ou logiciels malveillants.

Ce tableau récapitule quelques points de chargement de Windows avec l’emplacement et une description.
Beaucoup se trouvent dans le registre Windows.
Ici on donne une liste des clés HKEY_LOCAL_MACHINE, ce qui fait que ces clés sont actifs pour tous les utilisateurs.
Mais vous pouvez avoir l’équivalent au niveau d’un utilisateur Windows depuis les clés HKEY_CURRENT_USER.
C’est le principe des ruches du registre Windows.

Nom de la cléEmplacement dans le registre WindowsDescription/remarque
Les clés RunHKLM\Microsoft\Windows\CurrentVersion
et sous-clé :
Run
RunOnce
RunOnceEx
RunServices
RunServicesOnce

et :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run
Ce sont les clés les plus utilisées par les logiciels malveillants.
BHO (Objet Browser Helper)HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper ObjectsSous forme de DLL qui se charge dans explorer.exe
AppInit_DLLsHKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLsCharge une DLL sur tous les processus.
Peut-être utiliser par un keylogger
UserinitHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Clé Userinit
Cette clé permet de rendre actif le processus en mode sans échec
loadHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Clé Load
Cette clé permet de rendre actif le processus en mode sans échec
Les tâches planifiéesSe reporter à la page :
StartupC:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lié à la session utilisateur puisque le fichier se trouve dans le startup de l'utilisateur.
ShellHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clé Shell
Réglez sur explorer.exe pour charger le bureau.
Cette clé est très utilisée par les Trojan Winlock (Ransomware) pour bloquer l'ordinateur.
Shell FoldersHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Services WindowsUne application ou un malware peut aussi créer un service Windows.
Plus d'informations : Les services Windows
CLSIDCustomCLSID: HKU\S-1-5-21-2568215945-4132293836-1244343729-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\xrWCtmg2.dll (Microsoft Corporation)Il s'agit ici de charger une DLL dans explorer.exe en enregistrant celle-ci.
Par exemple : Le Trojan Bedep a utilisé cette méthode.
Command Processor
HKLM\Software\Microsoft\Command Processor\AutoRunCette clé permet de rendre actif le processus en mode sans échec
Image File Execution OptionsHKLM\Software\Microsoft\Windows NT\currentversion\image file execution optionsPermet de lancer un autre processus en ciblant un en particulier.

Exemple : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE
Un autre exécutable s'exécutera lorsque vous lancerez Skype.exe

Vous pouvez utiliser l’éditeur du registre Windows regedit pour visualiser le contenu d’une clé Autorun.
Toutefois, pour surveiller toutes ces clés, cela devient vite compliqué.
Mais, il existe d’autres applications présentées plus bas dans cet article.

Les Clés Run

Les clés Run sont les emplacements de chargement de Windows les plus connus.

Les logiciels malveillants sont aussi très friands de ces clés Run, du moins pour les Trojan simple. Les cheval de troie plus sophistiqués utilisent d’autres points de chargement.

En supprimant une entrée, vous supprimez le chargement du programme au démarrage de Windows.
Dans la suite de l’article vous verrez qu’il existe des outils pour les surveiller.

Les points de chargement ou autoruns de Windows

Enfin, notez que ces clés Run ne sont pas actives en mode sans échec, ce qui fait que les applications ne s’exécuteront pas automatiquement au démarrage de Windows dans ce mode.

Le dossier Shell:Startup

Ces commandes shell permettent d’ouvrir le dossier de démarrage.
En plaçant un raccourci, on peut alors lancer un programme au démarrage de Windows.
Il s’agit donc d’un autre point de chargement important.
On en parle d’ailleurs dans cet article :

Il en existe deux :

  • Dossier Démarrage Utilisateur : shell:startup
  • Dossier Démarrage de tous les utilisateurs (All Users) : shell:common

Pour y accéder,

  • Sur votre clavier, appuyez sur la touche Windows + R
  • Saisissez shell:startup et OK.
shell:startup : un autorun et point de chargement de Windows

Le dossier de démarrage s’ouvre alors.
Si un raccourci vers un exécutable est présent alors il va se lancer au démarrage de la session utilisateur.

Enfin notez que vous pouvez aussi utiliser cette commande dans la barre d’adresse de l’explorateur de fichiers de Windows.

shell:startup : un autorun et point de chargement de Windows

Surveiller les points de chargement de Windows contre les virus

Surveiller les poins de chargement de Windows à la recherche de logiciels malveillants n’est pas chose aisée puisqu’il existe vraiment beaucoup d’autoruns.
Toutefois, des programmes peuvent aider, notamment :

msconfig et gestionnaire de tâches

Dans les versions précédentes de Windows, on pouvait surveiller les points de chargements depuis l’outil msconfig.
Cela concerne Windows XP, Vista, 7.

Pour l’utiliser :

  • Sur votre clavier, appuyez sur la touche Windows + R
  • Saisissez ensuite msconfig et OK
  • Enfin cliquez sur l’onglet Démarrage
  • Vous pouvez alors désactiver les programmes depuis la liste
msconfig pour lister les programmes au démarrage de Windows

A partir de Windows 8 et donc 10, on gère cela depuis le gestionnaire de tâches.

Gestionnaire de tâches pour lister les programmes au démarrage de Windows

Autoruns et FRST

D’autres outils donnent une liste plus complète des points de chargement.
Vous trouverez des tutoriels sur le site.

  • Autoruns : permet de lister et surveiller beaucoup de points de chargement. De plus, les programmes peuvent être soumis à une analyse VirusTotal.
  • FRST : est un programme qui analyse l’ordinateur et certains autoruns pour générer un rapport
Autoruns : Surveiller les points de chargement de Windows contre les virus

Ces deux programmes FRST & Autoruns s’utilisent pour vérifier de temps à autres si votre ordinateur a été infecté.
On peut les voir comme des compléments à l’analyse de votre antivirus.
Les pages suivantes vous expliquent comment surveiller votre ordinateur face aux logiciels malveillants.

Bien entendu, cela demande quelques connaissances de Windows.

image_pdfimage_print
(Visité 1 237 fois, 1 visites ce jour)

Partager l'article