=============================================================================
--------------------------------------------------------------------------07-
-----( Metodos de Inicio en maquinas Windows )-------------------------RM-11]
-----[ TLSecurity ]-------------------------------[http://www.tlsecurity.net]


Los siguientes los metodos que se pueden utilizar para iniciar algun programa
en maquinas con el OS de Windows. Esto puede nos puede ser util para infectar
con algun virus, instalar algun programa cliente-servidor, etc.


 .oOo.  Menu Inicio

El primero de ellos es el de la carpeta Inicio (startup en ingles), y es
donde se ponen todos los programas que se cargan automaticamente al iniciar
Windows:

Regularmente se encuentra en:
  c:\windows\menu inicio\programas\inicio         (Espa~ol)
  c:\windows\start menu\programs\startup          (Ingles )
  c:\windows\Menu Démarrer\Programmes\Démarrage   (Frances)

La llave del registro que apunta hacia esta carpeta es:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
  Folders Startup="c:\windows\menu inicio\programas\inicio" 

Asi que puede ser cambiada por cualquier programa facilmente.


 .oOo.  WIN.INI

En el archivo win.ini facilmente, al principio en la seccion donde dice algo
como load= y run=, ejemplo:

 [windows]
 load=archivo.exe
 run=archivo.exe


 .oOo.  SYSTEM.INI [boot]

Igual que el metodo anterior, en la seccion donde dice Shell=, asi:

 Shell=Explorer.exe archivo.exe


 .oOo.  WINSTART.BAT

Este es un archivo de proceso por lotes que se ejecuta antes de cargar
windows y es generalmente usado para borrar y copiar archivos.
Suele localizarse en c:\windows\winstart.bat


 .oOo.  REGISTRO DEL SISTEMA

Existen varios llaves en el registro de windows (regedit) que se usan para
ejecutar programas al inicio, algunas de ellas son:

 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]


 .oOo.  WININIT.INI

Este archivo se usa a veces por programas de instalacion cuando estan activos
y se ejecutan solo una vez y despues son borrados por el mismo windows, por
ejemplo:

    [Rename]
    NUL=c:\windows\picture.exe

Este ejemplo envia c:\windows\picture.exe a el dispositivo NUL, por lo que
se ejecuta, pero no se ve la salida del programa. Corre invisible. Este
archivo suele localizarse en: c:\windows\wininit.ini


 .oOo.  AUTOEXEC.BAT
Este archivo se inicia cada vez que reiniciamos la maquina en nivel DOS.


 .oOo.  Registry Shell Spawning

 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
 [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
 [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
 [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
 [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
 [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
 [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
 [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
 [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
 [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"
     
 La llave del registro debe tener un valor de Valor "%1 %*", si esto se
 cambia a "server.exe %1 %*", el arhivo server.exe es ejecutado CADA VEZ que
 un archivo del tipo exe/pif/com/bat/hta se ejecuta.


 .oOo.  ICQ NET

 [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
 "Path"="test.exe"
 "Startup"="c:\\test"
 "Parameters"=""
 "Enable"="Yes"

 [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\

 Esta llave incluye todas las aplicaciones que se ejecutan si ICQNET detecta
 una conexion de Internet.


 .oOo.  OTROS

 [HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]
 @="Scrap object" "NeverShowExt"=""
                                                              
 La llave NeverShowExt (Nunca mostrar extension) tiene la funcion de esconder
 la extension real de un archivo SHS. Por ejemlo si le cambias el nombre a un
 archivo a "Girl.jpg.shs" este se vera como "Girl.jpg" en todos los programas
 incluyendo al explorador de windows.

 Tu registro deberia estar lleno de llaves de tipo NeverShowExt, simplemente
 borra la llave para ver la extension real.


 Estos metodos fueron tomados de TLSecurity.net. La version mas actualizada
 puede encontrarse en: http://www.tlsecurity.net/auto.html