He estado buscando una explicación para esta clave de registro no documentada, pero todo lo que pude encontrar fue alguna referencia a tomar posesión o ejecutarse como Administrador, sin explicar realmente para qué está diseñado ese valor de registro en particular (no clave).
También encontré este enlace que sugiere que:
HKEY_CURRENT_USER\Software\Classes.exe\ shell\open\command | ComandoAislado = ""%1? %*"
está relacionado con el software espía. ¿Es esto cierto? ¿Si es así, cómo?
¿Alguna idea de de qué se trata este valor "IsolatedCommand" y por qué Microsoft crearía un valor de registro que ayudaría al software espía?
Respuesta1
Lo que estás viendo es aparentemente un síntoma de laWin32/FalsoRean. Brevemente,
Win32/FakeRean es una familia de programas que pretenden escanear en busca de malware y mostrar advertencias falsas de archivos maliciosos. Luego informan al usuario que debe pagar dinero para registrar el software y eliminar estas amenazas inexistentes.
Cuando Windows intenta determinar qué hacer con archivos de cualquier tipo determinado, generalmente consulta la HKLMrama del registro en busca de una entrada para el tipo deseado. Sin embargo, si alguna vez instaló un software que le preguntó si quería que estuviera disponible solo para usted o para todos los usuarios de la máquina, habrá visto una función integrada en Windows. Cuando dice "Todos", sus entradas de registro generalmente se escriben en la HKLMcolmena. Si dijiste tú solo, esas entradas generalmente van a la HKCUcolmena. Lo Win32/FakeReanque se hace es poner entradas en la HKCUcolmena que tengan prioridad sobre las del HKLM. Para archivos ejecutables, eso puede ser malo.
Desafortunadamente, no puedo encontrar ninguna documentación para la IsolatedCommandclave (he consultado tanto en TechNet como en MSDN), pero por su nombre, supongo que controla cómo se crea un proceso. Ipoderdecirte queesnormal y requerido en la HKLMcolmena.
Respuesta2
Encontré esto cuando buscaba sobre la misma pregunta:
http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html
Bajo el comando, cambie el valor predeterminado a "%1" %* tal como está en HKLM y agregue un nuevo valor de cadena llamado 'Comando aislado' con el mismo valor que el predeterminado. Con esta configuración, muy poco ha cambiado en el sistema o en su funcionamiento.
> Sin embargo, si cambiamos la cadena 'IsolatedCommand' a 'notepad.exe' e intentamos 'Ejecutar como administrador' en ese sistema usando cualquier binario, ¿adivina qué sucede? ¡Bloc! (como administrador). peso
Respuesta3
El IsolatedCommandvalor a continuación HKLM\Software\Classes\exefile\shell\RUNAS\command\se usó para proporcionar el comando que se ejecuta cuando selecciona Run as AdministratorWindows 10 hasta la compilación 17025.
En una máquina sin parches, UAC podría evitarse creando la IsolatedCommandentrada en HKCU pero con datos de valor diferentes, como cmd.exey luego ejecutando sdclt.exe /kickoffelev. Cuando se parchó este exploit después de la compilación 17025, el IsolatedCommandvalor se mantuvo, pero Run as Administratorluego se usó el valor de la (Default)clave.
Lo que queda IsolatedCommandparece ya no servir para nada.
El IsolatedCommandvalor indicado a continuación HKLM\Software\Classes\exefile\shell\OPEN\command\no parece haber servido nunca para ningún propósito.