Claves de registro asiáticas / chinas desconocidas

4

En una máquina con Windows Server 2008, se encontró la clave de registro "瑦 慷 敶 under" en HKEY_CURRENT_USER de la cuenta del administrador. Contiene un valor "敓 癲 杮" de tipo REG_DWORD que se establece en 0.

Analicé la máquina sin resultados con Kaspersky Rescue Disk 10, Avira AntiVir Rescue System, F-Secure Rescue CD y Malwarebytes Anti-Malware Free. También reinstalé todo el software que instalé manualmente desde la última vez que accedí a esta parte del registro en una máquina virtual separada, bajo el supuesto de que una instalación de software podría haber insertado la clave de registro.

Esto me deja con tres escenarios imaginables:

  • La clave de registro estaba presente la última vez que examiné esta parte del registro, la pasé por alto y la inserté un software instalado en el servidor.
  • La clave de registro fue insertada por un software administrado a través de Windows Update.
  • El Editor del Registro interpreta erróneamente alguna codificación o la clave de registro es el resultado de algún tipo de error de codificación.
  • El servidor fue el objetivo de un ataque personalizado y está infectado con un malware que no es reconocido por el software estándar.

El último escenario parece poco probable, el sistema afectado no contiene datos valiosos y un ataque dirigido probablemente no dejará rastro.

El software de traducción automática no pudo traducir las cadenas a nada significativo. Los motores de búsqueda no tienen resultados significativos para las cadenas.

¿Alguien parece algo así? ¿Las cadenas tienen una traducción?

    
pregunta user27140 13.06.2013 - 20:08
fuente

2 respuestas

12
  

la clave de registro es el resultado de algún tipo de error de codificación.

Esto.

  

潓 敶 祲

codificada en UTF-16LE (la codificación habitual de Windows para cadenas Unicode) es la secuencia de bytes:

53 6f 66 74 77 61 72 65 5c 53 79 6e 63 6f 76 65 72 79

Que representa la cadena ASCII:

Software\Syncovery

Parece que Syncovery llamó a la API Unicode de Win32 para escribir un valor de registro, pero pasó cadenas que en realidad eran ANSI. Whoops!

No hay indicios de un problema de seguridad, a menos que no esperara que se esté ejecutando Syncovery ...

    
respondido por el bobince 13.06.2013 - 21:21
fuente
2

la nueva versión 6.33 de Syncovery corrige esto y elimina la clave incorrecta, si todavía existe.

    
respondido por el superflexible 05.08.2013 - 22:21
fuente

Lea otras preguntas en las etiquetas