www.MegaLab.it

Il registro

Questo paragrafo include i comandi più delicati, poiché appunto modificano il registro. Sappiamo benissimo che una sfortunata modifica errata al registro può provocare nel peggiore dei casi il non funzionamento del sistema.

N.B.: il programma può effettuare modifiche solo alle chiavi e ai valori inclusi nelle chiavi HKEY_LOCAL_MACHINE e HKEY_USERS (in breve HKLM e HKU). Il motivo è semplice: come abbiamo detto, il programma, per funzionare al meglio, viene lanciato dal kernel nelle primissime fasi di boot del PC, quando i virus non sono attivi. Ebbene, nemmeno l'albero del registro è completamente formato a quel punto. Ecco perché il programma non riesce ad individuare e a lavorare nelle chiavi che non siano contenute in quelle sopra citate.

5) Registry keys to delete:

Questo comando elimina le chiavi di registro indicate. Il programma effettua copie di backup anche di elementi del registro, salvandoli come file .reg; basterà un doppio click su di essi a ripristinarli nel registro.

Ad esempio, registry keys to delete: HKLM\System\CurrentControlSet\Services\LogDrr

Con questo script cancelliamo il servizio LogDrr, che potrebbe essere associato (ab esempio) ad un'avvenuta infezione da LinkOptimizer.

N.B.: da notare che The Avenger interpreta alla stessa maniera sia HKEY_LOCAL_MACHINE sia HKLM, sua abbreviazione. Stesso discorso per HKEY_USERS, che diventa HKU.

6) Registry values to delete:

Il funzionamento è del tutto simile a quello del comando precedente. In questo caso, però, si eliminano solo i valori infetti, e non le chiavi che li contengono. The Avenger, ovviamente, crea una copia di backup del valore.

registry values to delete: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | bfne1.exe

In questo caso, eliminiamo il valore infetto bfne1.exe dall'avvio automatico. Notare che con questo comando il pipe (|) va posto fra la chiave interessata e il valore da eliminare collocato all'interno di essa.

7) Registry keys to replace with dummy:

Come per il comando precedente, questa opzione ci permette di sostituire la chiave del registro infetta con un "fantoccio vuoto". La chiave eliminata verrà salvata come copia di backup. Un esempio della corretta sintassi dello script:

Registry keys to replace with dummy: HKLM\System\CurrentControlSet\Services\LogDrr

Dopo l'esecuzione dello script, noteremo che la chiave LogDrr esiste ancora, ma ora è del tutto vuota, e quindi innocua.

8) Registry values to replace with dummy:

Stesso funzionamento del precedente. Il valore infetto verrà sostituito da un valore omonimo, ma privo di riferimenti, e quindi innocuo.

Un esempio dello script è Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Il valore relativo verrà ripristinato come vuoto. Anche in questo caso, il valore precedente sarà salvato come copia di backup.

Comandi ausiliari

I rimanenti comandi impartibili con The Avenger sono tre e hanno funzioni abbastanza diverse dai precedenti.

9) Programs to launch on reboot:

Questo comando ci consente di settare il registro in modo tale da far avviare, la prima volta che accediamo a Windows, un programma da noi compilato, come ad esempio un file di batch.

Un esempio dello script è Programs to launch on reboot: C:\miobatch.bat

Il file miobatch.bat verrà caricato all'avvio del sistema operativo. Potrebbe essere utilizzato per implementare le modifiche da avviare con The Avenger.

10) Drivers to unload:

Si tratta di un comando molto delicato, a tal punto che lo stesso autore del programma si raccomanda di usarlo con molta moderazione. Anch'esso agisce nel registro, ma ho preferito non unirlo agli altri, perché con esso non è necessario specificare le chiavi di registro su cui operare

Esso ci permette di disattivare un servizio di sistema; tuttavia, non verranno eliminati i file relativi, per i quali resta necessario l'uso del comando Files to delete. A questo comando sono necessari ben due riavvii del sistema per poter svolgere il proprio ruolo. Ci basterà inserire nello script il nome del servizio che vogliamo eliminare, come in questo caso:

Drivers to unload: Windows log

Il servizio che disabiliteremo è relativo a un trojan.medbot.

N.B.: il nome del servizio da disabilitare è lo stesso della subkey relativa, presente in HKLM\System\CurrentControlSet\Services.

11) Comment:

L'ultimo comando è probabilmente il meno utile. Consente a chi ha stilato lo script di inserire commenti personali, che ovviamente non verranno considerati dal programma in fase di lavoro.