Geschreven door Er verschijnt steeds meer malware die voorkomt dat besmette Windows computers nog in de Veilige modus kunnen opstarten, maar de Belgische beveiligingsonderzoeker Didier Stevens heeft een oplossing. Het programma dat hij ontwikkelde maakt een speciale registersleutel aan die niet is te verwijderen. Ook is het mogelijk om al verwijderde registersleutels voor het opstarten in Veilige modus weer terug te zetten. Dat cybercriminelen dit niet willen blijkt wel uit het feit dat er inmiddels ook malware is die actief het register monitort om te voorkomen dat men verwijderde registersleutels weer terugzet. In dit geval moeten gebruikers via een LiveCD het systeem starten, wat volgens Stevens een complexe procedure is. Het zorgt er in ieder geval voor dat de malware niet draait terwijl men de Veilige modus registersleutel herstelt. De registersleutel die het programma van de onderzoeker maakt zorgt ervoor dat zelfs systeembeheerders en het systeem account de sleutel niet kunnen verwijderen. Daardoor is het zelfs voor malware onmogelijk om dit te doen. Deze speciale rechten worden alleen aangemaakt als de registersleutel ontbreekt.
Ik heb in 2006 voor de eerste keer gepost over malware die de Veilige modus sleutels verwijderd om zo te vermijden dat de gebruiker in Veilige modus start om de malware uit te schakelen. Later heb ik een oplossing geplaatst om de Veilige modus te herstellen, en het valt mij op dat de populariteit van deze oplossing de laatste maanden sterk toeneemt, wat mij doet geloven dat het probleem van malware die registersleutels verwijdert zich aan het uitbreiden is.