Estive procurando uma explicação para essa chave de registro não documentada, mas tudo que consegui encontrar foi alguma referência a assumir a propriedade ou executar como Administrador, sem realmente explicar para que serve esse valor de registro específico (não a chave).
Também encontrei este link que sugere que:
HKEY_CURRENT_USER\Software\Classes.exe\shell\open\command | IsoladoCommand = ""%1? %*"
está relacionado a spyware. Isso é verdade? Se sim, como?
Alguma ideia do que se trata esse valor "IsolatedCommand" e por que a Microsoft criaria um valor de registro que ajudaria o spyware?
Responder1
O que você está vendo é aparentemente um sintoma doWin32/FakeRean. Brevemente,
Win32/FakeRean é uma família de programas que afirma verificar malware e exibir avisos falsos de arquivos maliciosos. Eles então informam ao usuário que ele precisa pagar para registrar o software a fim de remover essas ameaças inexistentes.
Quando o Windows tenta determinar o que fazer com arquivos de qualquer tipo, ele geralmente consulta a HKLMramificação do registro em busca de uma entrada para o tipo desejado. No entanto, se você já instalou um software que perguntava se queria que ele estivesse disponível apenas para você ou para todos os usuários da máquina, você viu um recurso integrado ao Windows. Quando você diz "Todos", suas entradas de registro geralmente são gravadas no HKLMhive. Se você disse sozinho, essas entradas geralmente vão para a HKCUcolmeia. O que Win32/FakeReanestamos fazendo é colocar entradas no HKCUhive que tenham precedência sobre aquelas no arquivo HKLM. Para arquivos executáveis, isso pode ser ruim.
Infelizmente, não consigo encontrar nenhuma documentação para a IsolatedCommandchave (consultei o TechNet e o MSDN), mas pelo nome, acho que ela controla como um processo é criado. EUpodete dizer que issoénormal e exigido na HKLMcolméia.
Responder2
Encontrei isso ao pesquisar sobre a mesma pergunta:
http://www.infosecisland.com/blogview/19746-User-Assisted-Compromise-UAC.html
Sob o comando, altere o valor padrão para "%1" %* assim como em HKLM e adicione um novo valor String chamado 'Comando Isolado' com o mesmo valor do padrão. Com essas configurações, muito pouco mudou no sistema ou em sua operação.
> No entanto, se alterarmos a string 'IsolatedCommand' para 'notepad.exe' e tentarmos 'Executar como administrador' nesse sistema usando qualquer binário, adivinhe o que acontece? Bloco de anotações! (como administrador). ei.
Responder3
O IsolatedCommandvalor abaixo HKLM\Software\Classes\exefile\shell\RUNAS\command\foi usado para fornecer o comando que é executado quando você seleciona Run as Administratorno Windows 10 até a compilação 17025.
Em uma máquina sem patch, o UAC pode ser contornado criando a IsolatedCommandentrada no HKCU, mas com dados de valor diferentes, como cmd.exee executando sdclt.exe /kickoffelev. Quando esta exploração foi corrigida após a compilação 17025, o IsolatedCommandvalor permaneceu, mas Run as Administratordepois usou o valor da (Default)chave.
A sobra IsolatedCommandparece não servir mais para nada.
O IsolatedCommandvalor abaixo HKLM\Software\Classes\exefile\shell\OPEN\command\parece nunca ter servido a nenhum propósito.