Quando tenti di installare il programma, ti viene sempre chiesto il permesso dell'amministratore. Stessa cosa quando provi a usare il comando 'regedit'.
Quindi sono interessato a come funziona questo virus. Come può modificare Shell e userInit nel registro senza chiedere alcuna autorizzazione?
La parte utente del registro ( HKey_Current_User ) è scrivibile da applicazioni non privilegiate.
La parte della macchina del registro ( HKey_Local_Machine ) è scrivibile solo da programmi privilegiati.
Alcune sottochiavi potrebbero richiedere autorizzazioni diverse, ma questo è vero per la maggior parte delle chiavi
Per cambiare la shell per l'utente corrente, puoi modificare HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell , che si trova nella parte utente del registro e quindi probabilmente scrivibile da applicazioni non privilegiate.
Ci sono sezioni del registro in cui gli utenti possono scrivere. Questo è legato alla possibilità di avviare ResEdit stesso. Quindi il virus sta scrivendo lì.
Regedit non ha realmente bisogno di diritti di amministratore per scrivere il registro, ma poiché ci sono così tante aree di accesso del registro per cui hai bisogno di diritti di amministratore, eleva i privilegi all'avvio più per comodità rispetto alla necessità .
Leggi altre domande sui tag windows permissions virus