Chiavi di registro asiatiche / cinesi sconosciute

4

Su un computer Windows Server 2008 è stata trovata la chiave di registro "潓 瑦 慷 敲 卜 湹 潣 敶 祲" in HKEY_CURRENT_USER dell'account amministratore. Contiene un valore "敓 癲 捩 剥 湵 楮 杮" di tipo REG_DWORD che è impostato su 0.

Ho scansionato la macchina senza risultato con Kaspersky Rescue Disk 10, Avira AntiVir Rescue System, F-Secure Rescue CD e Malwarebytes Anti-Malware Free. Ho anche reinstallato tutto il software che ho installato manualmente dall'ultimo accesso a questa parte del registro in una macchina virtuale separata supponendo che un'installazione software possa aver inserito la chiave di registro.

Questo mi lascia con tre scenari immaginabili:

  • La chiave di registro era presente quando ho esaminato per l'ultima volta questa parte del registro, l'ho trascurata e è stata inserita dal software installato sul server.
  • La chiave del Registro di sistema è stata inserita dal software gestito tramite Windows Update.
  • L'editor del Registro di sistema interpreta erroneamente alcune codifiche o la chiave del Registro di sistema è il risultato di un qualche tipo di errore di codifica.
  • Il server era bersaglio di un attacco personalizzato ed è stato infettato da malware non riconosciuto dal software standard.

L'ultimo scenario sembra improbabile, il sistema interessato non contiene dati valutabili e un attacco mirato probabilmente non lascerebbe tracce.

Il software di traduzione automatica non ha potuto tradurre le stringhe in qualcosa di significativo. I motori di ricerca non hanno risultati significativi per le stringhe.

Qualcuno sembra qualcosa del genere? Le stringhe hanno una traduzione?

    
posta user27140 13.06.2013 - 20:08
fonte

2 risposte

12

the registry key is the result of some kind of encoding error.

Questa.

潓瑦慷敲卜湹潣敶祲

codificato in UTF-16LE (la solita codifica di Windows per stringhe Unicode) è la sequenza di byte:

53 6f 66 74 77 61 72 65 5c 53 79 6e 63 6f 76 65 72 79

Che rappresenta la stringa ASCII:

Software\Syncovery

Quindi sembrerebbe che Syncovery abbia chiamato un'API Unicode Win32 per scrivere un valore di registro, ma ha passato stringhe che erano in realtà ANSI. Ops!

Nessuna indicazione di un problema di sicurezza, a meno che non ti aspettassi che Syncovery sia in esecuzione ...

    
risposta data 13.06.2013 - 21:21
fonte
2

la nuova versione 6.33 di Syncovery risolve questo problema e rimuove la chiave errata, se presente esiste ancora.

    
risposta data 05.08.2013 - 22:21
fonte

Leggi altre domande sui tag