Registeret i Windows kan skjule destruktiv programvare

Sikkerhetseksperter har oppdaget svakheter i Windowsregisteret som gjør det mulig å skjule såkalt malware i lange filnavn.

Det er det danske selskapet Secunia som har oppdaget denne sårbarheten i systemet. Svakheten ligger i verktøyet som håndterer de lange filnavnene, Windows Registry Editor Utility.

Det viser seg at destruktiv programkode kan skjule seg i en registernøkkel ved å opprette en streng med et langt navn. Slik kan den destruktive strengen, og enhver streng skrevet etter denne under samme nøkkel, forbli skjult.

Sårbarheten er oppdaget både Windows 2000, selv med Service Pack 4 installert, og i Windows XP, selv nyere versjoner av XP med Service Pack 2 installert.

Må være smittet

Microsoft har sagt at saken blir undersøkt, men at de ikke kjenner til forekomster av destruktiv programvare som har utnyttet svakheten.

Selskapet antar at denne svakheten ikke kan utnyttes med mindre det pc-en på en eller annen måte er infisert med destruktiv programvarekode fra før, melder IDG News Service.

Windows Registry er en database som inneholder informasjon om datamaskinens konfigurasjon. Den er delt inn i seks såkalt nøkler som hver inneholder relevant informasjon. De fleste Windows-applikasjoner skriver til registeret, særlig under installering. Her finner du en mer detaljert definisjon av Windows Registry.

Ifølge Secunia er det registernøkkelen "Run" som blir berørt av den nyoppdagede sårbarheten. Destruktive strenger i denne nøkkelen kan da bli eksekvert når pc-en skrus på.

Secunia gir flere oppskrifter på hvordan man unngår denne register-fella. Oppdatert antivirus- og anti-spyware-programvare er en av dem.

Det er også mulig å få øye på de skjulte registerstrengene med kommandolinjeverktøyet "reg" under Windows Registry. Verktøyet "regedt32.exe2 i Windows 2000 er ikke berørt av denne sårbarheten.