Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   [решено] Ключи Active Setup Installed Components в реестре XP (http://forum.oszone.net/showthread.php?t=128340)

Котяра 11-01-2009 14:12 1003680
Ключи Active Setup Installed Components в реестре XP
 
Цитата:
Цитата http://www.viruslist.com/ru/viruses/encyclopedia?virusid=133781
Также троянец создает следующий ключ реестра:
Код:
[HKLM\Software\Microsoft\Active Setup\Installed Components\{254F4E25-A65F-2764-0003-070806050704}]
 "StubPath"="%Windir%\wab32.exe"
А зачем? Когда этот ключ обрабатывает? Зачем вообще этот раздел?

Leshiy 11-01-2009 15:55 1003770
Цитата:
wab32.dll is a module for the Microsoft Address Book, used by Outlook and Outlook Express to store email addresses and other contact information
- вот и думай дальше - когда и зачем :) или Сюда

Котяра 11-01-2009 16:04 1003782
Leshiy, wab32.exe имя вируса того!
Вот это я прочитал http://www.viruslist.com/ru/viruses/...virusid=133781 и решил спросить, а когда винды ключ запускают? Зачем троян это делает? P.S. У меня этого вируса нет, просто интересно, когда ОС StubPath обрабатывают?

Leshiy 11-01-2009 16:54 1003828
Цитата:
Цитата Котяра
когда винды ключ запускают? Зачем троян это делает? »
видимо при обработке адресной книги, раз уж
Цитата:
Данный бекдор представляет из себя зашифрованную серверную часть распространенной утилиты удаленного администрирования Poison Ivy.
и
Цитата:
При помощи данного бекдора злоумышленник получает полный доступ к зараженному компьютеру и может выполнять различные команды. Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, загружать и запускать файлы, создавать и перемещать каталоги, изменять ключи системного реестра, завершать активные процессы, делать и отсылать злоумышленнику снимки рабочего стола, завершать работу зараженного компьютера и другое
:)

Котяра 11-01-2009 17:22 1003868
Leshiy, понятно. Но это всего лишь предположение? Никто не знает точно, что делает параметр StubPath?

Admiral 12-01-2009 05:59 1004583
Котяра,
Цитата:
Цитата Remove Personalized Settings for New Users After Installing Internet Explorer 5
A variable named StubPath is specified for most component keys in the aforementioned section of HKEY_LOCAL_MACHINE. The data in that variable provides instructions about what that setting in the new user profile should be. It points to a program file or .inf files. For program files, it commonly contains instructions, such as values and APIs. For .inf files, it points to a specific section containing the data to be added to the User hive. >>
обрабатывается при входе (LogIn) в новую созданную пользовательскую учётную запись.

Котяра 12-01-2009 13:48 1004930
Admiral, это метод автозапуска? В данном примере wab32.exe запускался при каждом включении ПК или один раз?

Leshiy 12-01-2009 19:41 1005387
Цитата:
Цитата Котяра
Но это всего лишь предположение? »
ну, коли комментарий с viruslist не подходит...

Admiral 13-01-2009 09:04 1005985
Котяра,
Цитата:
Цитата Active Setup
Registry keys at HKLM\Software\Microsoft\Active Setup\Installed Components\%APPNAME% and HKCU\Software\Microsoft\Active Setup\Installed Components\%APPNAME% are compared, and if the HKCU registry entries don't exist, or the version number of HKCU is less than HKLM, then the specified application is executed for the current user. >>
приведённый адрес реестра сравнивается с аналогичным но в HKCU, если в последним нет записей вовсе или они для младшей версии, то приложение указанное в StubPath выполняется для пользователя вошедшего в систему. Естественно если снести эти параметры, то приложение запустится при очередном входе в систему этого пользователя.


Время: 14:39.

Время: 14:39.
© OSzone.net 2001-