[Leshiy]

Цитата:

wab32.dll is a module for the Microsoft Address Book, used by Outlook and Outlook Express to store email addresses and other contact information

- вот и думай дальше - когда и зачем или Сюда

[Котяра]

Leshiy, wab32.exe имя вируса того!
Вот это я прочитал http://www.viruslist.com/ru/viruses/...virusid=133781 и решил спросить, а когда винды ключ запускают? Зачем троян это делает? P.S. У меня этого вируса нет, просто интересно, когда ОС StubPath обрабатывают?

[Leshiy]

Цитата Котяра:

когда винды ключ запускают? Зачем троян это делает? »

видимо при обработке адресной книги, раз уж

Цитата:

Данный бекдор представляет из себя зашифрованную серверную часть распространенной утилиты удаленного администрирования Poison Ivy.

и

Цитата:

При помощи данного бекдора злоумышленник получает полный доступ к зараженному компьютеру и может выполнять различные команды. Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, загружать и запускать файлы, создавать и перемещать каталоги, изменять ключи системного реестра, завершать активные процессы, делать и отсылать злоумышленнику снимки рабочего стола, завершать работу зараженного компьютера и другое

[Котяра]

Leshiy, понятно. Но это всего лишь предположение? Никто не знает точно, что делает параметр StubPath?

[Admiral]

Котяра,

Цитата Remove Personalized Settings for New Users After Installing Internet Explorer 5:

A variable named StubPath is specified for most component keys in the aforementioned section of HKEY_LOCAL_MACHINE. The data in that variable provides instructions about what that setting in the new user profile should be. It points to a program file or .inf files. For program files, it commonly contains instructions, such as values and APIs. For .inf files, it points to a specific section containing the data to be added to the User hive. >>

обрабатывается при входе (LogIn) в новую созданную пользовательскую учётную запись.

[Котяра]

Admiral, это метод автозапуска? В данном примере wab32.exe запускался при каждом включении ПК или один раз?

[Leshiy]

Цитата Котяра:

Но это всего лишь предположение? »

ну, коли комментарий с viruslist не подходит...

[Admiral]

Котяра,

Цитата Active Setup:

Registry keys at HKLM\Software\Microsoft\Active Setup\Installed Components\%APPNAME% and HKCU\Software\Microsoft\Active Setup\Installed Components\%APPNAME% are compared, and if the HKCU registry entries don't exist, or the version number of HKCU is less than HKLM, then the specified application is executed for the current user. >>

приведённый адрес реестра сравнивается с аналогичным но в HKCU, если в последним нет записей вовсе или они для младшей версии, то приложение указанное в StubPath выполняется для пользователя вошедшего в систему. Естественно если снести эти параметры, то приложение запустится при очередном входе в систему этого пользователя.