Chiavi nascoste nel registro di sistema

Questa volta è l’Editor del registro di sistema di Windows ad essere preso di mira. E’ stata infatti scoperta una lacuna nella gestione, da parte di Windows, di alcune tipologie di chiavi del registro che, sebbene sia di per sé di scarsa importanza, potrebbe ben presto essere sfruttata per scopi illeciti.
Il problema consiste nel fatto che qualora si importi o si crei nel registro di sistema di Windows una normale chiave assegnandole un nome molto lungo (superiore ai 254 caratteri), questa non viene visualizzata, ad esempio, mediante l’Editor del registro o tramite altri software similari, sebbene essa sia effettivamente memorizzata.
Non solo viene celata alla vista la chiave con il nome lungo ma anche tutte le sottochiavi e le voci eventualmente in essa presenti. Questa lacuna non è sfruttabile da remoto da solo dal sistema locale. Purtuttavia, il problema potrebbe essere sfruttato da parte di malware per cercare di passare inosservati.
Un’applicazione “maligna” potrebbe, ad esempio, inserire i suoi riferimenti all’interno della chiave “Run” del registro di sistema assicurandosi, da un lato, di essere automaticamente eseguita ad ogni avvio di Windows (alcuni articoli in materia sono consultabili cliccando qui), dall’altra rendendo più difficile il suo riconoscimento.
L’Internet Storm Center di SANS ha pubblicato (ved. questa pagina) sia la lista delle applicazioni in grado di rilevare e gestire chiavi di registro con nomi lunghi (AppSense Environment Manager, HiJackThis v1.99.1 (funzione “scan”), HiJackThis v1.99.2, Stillsecure SafeAccess, Sysinternals Autoruns, Regedt32 di Windows 2000), sia l’elenco dei software che non sarebbero in grado di rilevare chiavi simili (AdAware, Autoruns 8.13, MS AntiSpyware Beta
HijackThis v1.97.0.7, HiJackThis v1.99.0, Msconfig di Windows XP, Norton SystemWorks 2003 Pro, RegAlyzer 1.1, RegEdit, reg.exe (in alcune situazioni), Registry Explorer 3.0.0.276, Spybot S&D, WinDoctor v. 7.00.22).