Как быстро выявить вредоносный run-as скрипт в папке Startup

Автор На чтение 8 мин Просмотров 2 Опубликовано

Кто-то оставил скрипт в автозагрузке, который запускается с правами администратора. Это не просто подозрительно — это прямой путь к полной компрометации системы. Если вы нашли в папке C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp (или в пользовательской папке Startup) файл с расширением .bat, .cmd, .vbs, .ps1 или .cmd с параметром runas, нужно действовать быстро и аккуратно. Вот как это сделать — без теории, только практика.

Содержание
  1. Почему run-as скрипт в Startup — это красный флаг
  2. Где смотреть в первую очередь
  3. Как быстро проанализировать сам скрипт
  4. Инструменты для быстрой проверки
  5. Что делать, если скрипт уже выполняется
  6. Сценарии в зависимости от того, что нашли
  7. Частые ошибки при проверке
  8. Как лучше сделать: пошаговый чек-лист
  9. Если вы не уверены — что делать
  10. Итог

Почему run-as скрипт в Startup — это красный флаг

Нормальная автозагрузка не требует повышенных привилегий. Если скрипт использует runas или запускается через планировщик задач с правами администратора, значит, кто-то намеренно обходит стандартную модель безопасности Windows. Это классический приём для:

  • персистентности — вредоносный код возвращается после каждой перезагрузки с повышенными правами;
  • латерального перемещения — скрипт тихо подтягивает основную нагрузку с удалённого сервера;
  • кражи данных — скрипт с правами админа может читать всё, включая защищённые системные папки и чужие профили пользователей.

Хорошая новость: такой скрипт редко бывает одиночным. Обычно он оставляет следы в нескольких местах одновременно.

Где смотреть в первую очередь

Откройте папку Startup и найдите подозрительный файл. Но не спешите его удалять — сначала нужно понять, что он делает и есть ли ещё связанные с ним элементы. Вот пошаговый порядок действий.

  1. Откройте диспетчер задач (Ctrl + Shift + Esc) → вкладка «Автозагрузка». Посмотрите, есть ли там записи с издателем «Неизвестно» или с подозрительным путём. Запомните имя записи.
  2. Проверьте планировщик задач. Нажмите Win + R, введите taskschd.msc. В планировщике задач просмотрите библиотеку заданий. Обратите внимание на задачи, которые запускаются при входе в систему или при загрузке, особенно те, где в поле «Выполнить» указан runas или ссылка на скрипт.
  3. Проверьте реестр. Откройте regedit и проверьте ветки:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Ищите значения, которые ссылаются на ваш скрипт или содержат runas в параметрах.

  4. Проверьте журналы событий. eventvwr.msc → Журналы Windows → Система и Безопасность. Ищите события с кодом 4688 (создание процесса) и фильтруйте по имени скрипта.

Как быстро проанализировать сам скрипт

Не запускайте скрипт, чтобы «посмотреть, что будет». Откройте его в текстовом редакторе (Notepad++ или VS Code — обычный Блокнот может не показать все символы корректно). Ищите следующие маркеры.

Строки, которые должны насторожить:

  • runas /user:administrator или runas /user:домен\администратор — прямой запуск с повышенными правами;
  • bitsadmin, certutil, powershell -enc — загрузка файлов или выполнение закодированных команд;
  • net use, netsh, reg add — изменения в системе или сети;
  • schtasks — создание новых заданий в планировщике (возможно, скрипт размножается);
  • Ссылки на внешние ресурсы — http://, https://, \\удалённый_сервер\шаре;
  • -nop -w hidden -enc — типичная сигнатура PowerShell-импорта, которую используют в атаках;
  • Работа с реестром в ветках, связанных с автозагрузкой, службами или политиками безопасности.

Если скрипт содержит закодированную строку (длинная последовательность Base64), скорее всего перед вами не ручная настройка, а автоматически сгенерированная нагрузка. Такой файл нужно изолировать и проверить на песочнице.

Инструменты для быстрой проверки

Не нужно устанавливать десяток программ. Вот минимальный набор, который реально помогает на рабочей машине.

Инструмент Где взять Что делает Когда использовать
Autoruns Sysinternals (бесплатно) Показывает все места автозагрузки, включая реестр, планировщик, службы. Подсвечивает элементы без цифровой подписи. Всегда первым делом — быстрая общая картина.
Process Explorer Sysinternals (бесплатно) Если скрипт уже запущен, покажет процесс-потомок, откуда он стартовал и какие файлы/ключи реестра держит открытыми. Когда нужно понять, работает ли скрипт прямо сейчас.
Sigcheck Sysinternals (бесплатно) Проверяет цифровую подпись файла и его хеш. Можно прогнать всю папку Startup одной командой. Для быстрой фильтрации — что подписано Microsoft/известным вендором, а что нет.
VirusTotal virustotal.com Загружаете файл — проверяете по 70+ антивирусам. Когда сомневаетесь в конкретном файле. Не загружайте конфиденциальные данные.

Быстрый пример с Sigcheck: откройте командную строку от администратора и выполните:

sigcheck -h -u "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp"

Флаг -h показывает хеши, -u — неподписанные файлы в указанной папке и подпапках. Все неподписанные файлы — кандидаты на проверку.

Что делать, если скрипт уже выполняется

Если вы подозреваете, что скрипт запущен и работает (например, нагрузка на диск или сеть без видимых причин), порядок действий другой.

  1. Откройте Process Explorer. Найдите подозрительный процесс. Кликните на него дважды → вкладка «Image». Путь к файлу должен совпадать с тем, что в папке Startup. Если путь указывает на временную папку — это очень плохой знак.
  2. Проверьте вкладку «Strings» в Process Explorer. Там будут видны все строки, которые процесс держит в памяти, включая URL-адреса, пути к файлам, имена других скриптов. Это часто самый быстрый способ понять, куда «звонит домой» вредоносный процесс.
  3. Не убивайте процесс сразу. Сначала запишите все найденные строки и связи. После завершения процесса некоторые данные могут быть утеряны. Фиксируйте всё до того, как нажмёте «Kill Process».
  4. Заблокируйте сетевой доступ через брандмауэр Windows для этого процесса — если скрипт пытается связаться с командным сервером, это его остановит.

Сценарии в зависимости от того, что нашли

Сценарий 1: скрипт не подписан, но содержит безобидные команды. Например, запускает нужную вам программу с правами администратора. Это легитимный способ, но потенциально небезопасный. Рекомендация: проверьте, кто создал файл (свойства → цифровые подписи → сведения). Если это известный вам администратор — оставьте, но убедитесь в пароле учётной записи. Если создатель неизвестен — удалите и разберитесь, откуда он появился.

Сценарий 2: скрипт не подписан, содержит загрузку данных из интернета. Это почти наверняка вредоносный код. Удалите скрипт, проверьте все элементы автозагрузки через Autoruns, удалите подозрительные задания в планировщике. Запустите полную проверку антивирусом.

Сценарий 3: скрипт подписан, но вы не знаете издателя. Проверьте сертификат через свойства файла. Если издатель не совпадает с тем, кого вы ожидайте, возможно, подпись скомпрометирована или использована неправомерно. В этом случае лучше обратиться к специалисту по ИБ.

Сценарий 4: скрипт зашифрован или обфусцирован. Не пытайтесь расшифровать самостоятельно. Сохраните файл в защищённую папку и передайте аналитику. Это явный признак целенаправленной атаки.

Частые ошибки при проверке

  • Удалить скрипт и забыть. Скрипт — это лишь видимая часть. Если он создал задание в планировщике или модифицировал реестр, нагрузка вернётся после перезагрузки. Нужно проверить все связанные элементы.
  • Запустить скрипт для проверки. Никогда не запускайте подозрительный скрипт на рабочей машине. Если хотите посмотреть, что он делает, используйте изолированную среду (виртуальная машина, песочница).
  • Игнорировать журнал событий. Там могут быть записи о том, что скрипт уже запускался и, возможно, изменил настройки системы. Пропустив это, вы рискуете не заметить начало атаки.
  • Проверять только пользовательскую папку Startup. Скрипт может сидеть в системной папке Startup, которая влияет на всех пользователей. Проверяйте оба пути.
  • Не проверять планировщик задач. Многие современные атаки используют планировщик, а не папку Startup, потому что он даёт больше контроля над временем запуска и правами.

Как лучше сделать: пошаговый чек-лист

  1. Откройте Autoruns → отфильтруйте неподписанные элементы (Options → Scan Options → проверьте «Check VirusTotal» и «Verify code signatures»).
  2. Найдите подозрительный элемент → кликните правой кнопкой → «Jump to» — перейдёте к месту расположения в реестре или планировщике.
  3. Если элемент ведёт в папку Startup — откройте файл в текстовом редакторе, проверьте содержимое по списку маркеров выше.
  4. Запустите sigcheck для всех файлов в папке Startup, чтобы быстро отфильтровать неподписанные.
  5. Проверьте планировщик задач на наличие заданий, которые запускают этот же скрипт или связанные с ним команды.
  6. Если нашли что-то подозрительное — не удаляйте сразу. Сначала экспортируйте элемент реестра или задание планировщик (правой кнопкой → «Экспорт»), чтобы сохранить для анализа.
  7. После очистки запустите полное сканирование антивирусом и проверьте систему утилитой sfc /scannow, чтобы убедиться, что системные файлы не повреждены.

Если вы не уверены — что делать

Если после проверки остались сомнения, лучший вариант — сохранить дамп подозрительного файла (сам файл + скриншоты из Autoruns и планировщика) и обратиться к специалисту по информационной безопасности. Самостоятельное удаление без понимания полной картины может привести к тому, что вы удалите легитимный элемент и сломаете рабочий процесс, или наоборот — пропустите часть вредоносной цепочки.

Если вы работаете в компании, сообщите в службу безопасности. Даже если окажется, что это легитимный скрипт, лучше перестраховаться. Если вы один — используйте песочницу (например, бесплатный Windows Sandbox, если у вас Pro-версия Windows) для безопасного запуска и анализа.

Итог

Вредоносный run-as скрипт в Startup — это не просто мусор в автозагрузке. Это признак того, что кто-то намеренно настроил персистентность с повышенными правами. Быстрая проверка через Autoruns + Sigcheck + планировщик задач занимает 10–15 минут и даёт полную картину. Не удаляйте файл вслепую — сначала проверьте, что он делал и какие следы оставил. Если нашли что-то подозрительное — изолируйте файл, проверьте все связанные элементы и запустите полное сканирование. И помните: если скрипт использует runas без вашего ведома, это почти всегда проблема.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком