Les points de chargement ou autoruns de Windows

Les points de chargement de Windows ou Autoruns sont des emplacements qui permettent à une application de se charger au démarrage de Windows.
Cela permet donc à une application de se rendre actif lorsque Windows démarre, pour par exemple ajouter une icone dans la zone de notification (systray).
Ces autoruns sont aussi utilisés par les logiciels malveillants pour se rendre actif au démarrage de Windows.

Voici un tour d’horizon de ces points de chargements de Windows.

Les points de chargement ou autoruns de Windows

Il existe des centaines de points de chargements sur Windows, tous les énumérer serait donc très difficile.
Voici quelque uns des points de chargement les plus courants et utiliser notamment par les applications ou logiciels malveillants.

Ce tableau récapitule quelques points de chargement de Windows avec l’emplacement et une description.
Beaucoup se trouve dans le registre Windows, notez que les clés HKEY_LOCAL_MACHINE sont données en exemple, ce qui fait que ces clés sont actifs pour tous les utilisateurs.
Mais vous pouvez avoir l’équivalent au niveau d’un utilisateur Windows depuis les clés HKEY_CURRENT_USER.

Nom de la cléEmplacement dans le registre WindowsDescription/remarque
Les clés RunHKLM\Microsoft\Windows\CurrentVersion
et sous-clé :
Run
RunOnce
RunOnceEx
RunServices
RunServicesOnce

et :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run
Ce sont les clés les plus utilisées par les logiciels malveillants.
BHO (Objet Browser Helper)HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper ObjectsSous forme de DLL qui se charge dans explorer.exe
AppInit_DLLsHKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLsCharge une DLL sur tous les processus.
Peut-être utiliser par un keylogger
UserinitHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Clé Userinit
Cette clé permet de rendre actif le processus en mode sans échec
loadHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Clé Load
Cette clé permet de rendre actif le processus en mode sans échec
Les tâches planifiéesSe reporter à la page :
StartupC:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lié à la session utilisateur puisque le fichier se trouve dans le startup de l'utilisateur.
ShellHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clé Shell
Réglez sur explorer.exe pour charger le bureau.
Cette clé est très utilisée par les Trojan Winlock (Ransomware) pour bloquer l'ordinateur.
Shell FoldersHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Services WindowsUne application ou un malware peut aussi créer un service Windows.
Plus d'informations : Les services Windows
CLSIDCustomCLSID: HKU\S-1-5-21-2568215945-4132293836-1244343729-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\xrWCtmg2.dll (Microsoft Corporation)Il s'agit ici de charger une DLL dans explorer.exe en enregistrant celle-ci.
Par exemple : Le Trojan Bedep a utilisé cette méthode.
Command Processor
HKLM\Software\Microsoft\Command Processor\AutoRunCette clé permet de rendre actif le processus en mode sans échec
Image File Execution OptionsHKLM\Software\Microsoft\Windows NT\currentversion\image file execution optionsPermet de lancer un autre processus en ciblant un en particulier.

Exemple : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE
Un autre exécutable s'exécutera lorsque vous lancerez Skype.exe

Vous pouvez utiliser l’éditeur du registre Windows regedit pour visualiser le contenu d’une clé Autorun.
Toutefois, pour surveiller toutes ces clés, cela devient vite compliqué, heureusement, il existe d’autres applications présentées plus bas dans cet article.

Les Clés Run

Les clés Run sont les emplacements de chargement de Windows les plus connus.
Ces clés sont notamment listées par le programme msconfig, lorsque vous souhaitez désactiver des programmes au démarrage de Windows pour optimiser Windows.
Les logiciels malveillants sont aussi très friands de ces clés Run, du moins pour les Trojan simple. Les cheval de troie plus sophistiqués utilisent d’autres points de chargement.

En supprimant une entrée, vous supprimez le chargement du programme au démarrage de Windows.

Les points de chargement ou autoruns de Windows

Enfin, notez que ces clés Run ne sont pas actives en mode sans échec, ce qui fait que les applications ne s’exécuteront pas automatiquement au démarrage de Windows dans ce mode.

Surveiller les points de chargement de Windows contre les virus

Surveiller les poins de chargement de Windows à la recherche de logiciels malveillants n’est pas chose aisée puisqu’il existe vraiment beaucoup d’autoruns.
Toutefois, des programmes peuvent aider, notamment :

  • Autoruns : permet de lister et surveiller beaucoup de points de chargement. De plus, les programmes peuvent être soumis à une analyse VirusTotal.
  • FRST : est un programme qui analyse l’ordinateur et certains autoruns pour générer un rapport

Autoruns : Surveiller les points de chargement de Windows contre les virus

Ces deux programmes FRST & Autoruns peuvent donc être utilisés pour vérifier de temps à autres si votre ordinateur a été infecté, en plus d’une analyse de votre antivirus.
Les pages suivantes vous expliquent comment surveiller votre ordinateur face aux logiciels malveillants.

Bien entendu, cela demande quelques connaissances de Windows.

(Visité 142 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet