Quasi tutti i virus, i worm e i trojan horse in circolazione nel momento in cui si installano sul computer vittima vanno a modificare chiavi di registro importanti.

La chiave che viene alterata con più frequenza è HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run (da ora in poi mi riferirò a questa chiave soltanto con la parola Run), in cui sono memorizzati tutti i programmi che partono all'avvio nei sistemi Windows.

Il temibile worm Mydoom@MM oltre a creare nella cartella Windows un eseguibile dal nome taskmon.exe aggiunge al registro di sistema la chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = C:\Windows\taskmon.exe.

Queste aggiunte alla chiave Run consentono al worm di autoavviarsi ogni volta che viene caricato Windows.

Ovviamente molte altre sono le modifiche al sistema e al registro di configurazione ma se si riuscisse ad impedire al worm di autoeseguirsi sarebbe già un buon risultato.

Per bloccare modifiche malevole (e non) al registro dei sistemi Windows una piccola software house australiana ha creato un'utility freeware molto efficace: RegistryProt.

Realizzato dalla DiamondCs di Perth, RegistryProt si rivela essenziale nel bloccare qualsiasi modifica apportata ad esempio alla chiave Run.

Scaricato l'eseguibile Rpsetup.exe di soli 97kbyte avviamolo e installiamo il programma. Al termine della procedura comparirà una piccola schermata RegistryProt Administration divisa in due parti.

Sulla sinistra RegistryProt System potremo cliccare sul bottone Start per avviare il programma e iniziare il monitoraggio del registro che potremo interrompere cliccando sul bottone Stop.

Nella parte destra della schermata denominata Run at Startup potremo decidere se avviare RegistryProt ad ogni avvio di Windows cliccando su Install.

La prima volta che cliccheremo su Start il programma elencherà una alla volta tutte le voci di programmi che si eseguono all'avvio di Windows dandoci la possibilità di eliminare le voci che si riferiscono a programmi che non vogliamo sia avviati al boot.

Finita questa prima fase potremo tranquillamente chiudere la schermata RegistryProt Administration. Il programma rimarrà in esecuzione in background, monitorando continuamente le modifiche apportate al registro.

Tutte le volte in cui un programma cercherà di autoeseguirsi, posizionandosi nella chiave Run, RegistryProt uscirà allo scoperto chiedendoci di consentire la modifica o bloccarla.

Nessun cambiamento al registro di configurazione sarà apportato senza il nostro consenso, rendendo in questo modo la vita difficile a worm e trojan horse.