Может ли вредоносное ПО запуститься без автозапуска и планировщика?

Question

[Антон]

Подскажите, существуют-ли какие-нибудь пути скрытого запуска вредоносного ПО если его нет в автозапуске windows а так-же нет записей в планировщике задач?

Answer 1

[Saboteur]

Открыто службу создать с названием, похожим на системную службу.
Подстроиться драйвером.
Автозапуск в винде тоже есть разный.

Comments

[Антон]

Разный это какой?

[Saboteur]

Ну есть ярлыки в меню старт, есть дефолтный десктоп, есть автостарт для юзера, есть автостарт для системы и еще парочка мест.

Answer 2

[MVV]

В дополнение: есть такая утилита от Sysinternals (это уже давно часть Microsoft), она показывает все места, откуда возможен автоматический запуск, и что в этих местах содержится.

Comments

[Антон]

А название?

[MVV]

Антон, autoruns

Answer 3

[Владимир Коротенко]

Вот еще один способ
https://habr.com/ru/companies/dsec/articles/282546/

Кроме того кто мешает зашить троян в любое ПО которых тысячи?
Один деятель вообще зашил в NPM код который стирал у русских все картинки :)

Comments

[mayton2019]

Статья 2016 года. Интересно что изменилось за 7 лет.

[Владимир Коротенко]

mayton2019, Absolutely nothing

Answer 4

[hint000]

Загрузочный сектор MBR диска умели заражать ещё со времён MS-DOS ранних версий.
Сейчас известны методы заражения EFI (т.е. зараза сохраняется после чистой установки системы).
Также известен метод заражения прошивки контроллера жесткого диска, что в принципе не позволяет обнаружить заразу любыми программными средствами, только в лаборатории на специальном оборудовании; но такие методы - это удел спецслужб (АНБ, ЦРУ,..).

Answer 5

[CityCat4]

Тысячи их. Там одного только автозапуска - четыре разных места :)

Системная служба
Драйвер
Инжект в популярный бинарь.
...