Также троянец создает следующий ключ реестра:
[HKLM\Software\Microsoft\Active Setup\Installed Components\{254F4E25-A65F-2764-0003-070806050704}]
"StubPath"="%Windir%\wab32.exe"

А зачем? Когда этот ключ обрабатывает? Зачем вообще этот раздел?

wab32.dll is a module for the Microsoft Address Book, used by Outlook and Outlook Express to store email addresses and other contact information - вот и думай дальше - когда и зачем :) или Сюда (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=133781)

Leshiy, wab32.exe имя вируса того!
Вот это я прочитал http://www.viruslist.com/ru/viruses/encyclopedia?virusid=133781 и решил спросить, а когда винды ключ запускают? Зачем троян это делает? P.S. У меня этого вируса нет, просто интересно, когда ОС StubPath обрабатывают?

когда винды ключ запускают? Зачем троян это делает? »видимо при обработке адресной книги, раз уж Данный бекдор представляет из себя зашифрованную серверную часть распространенной утилиты удаленного администрирования Poison Ivy. и
При помощи данного бекдора злоумышленник получает полный доступ к зараженному компьютеру и может выполнять различные команды. Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, загружать и запускать файлы, создавать и перемещать каталоги, изменять ключи системного реестра, завершать активные процессы, делать и отсылать злоумышленнику снимки рабочего стола, завершать работу зараженного компьютера и другое :)

Leshiy, понятно. Но это всего лишь предположение? Никто не знает точно, что делает параметр StubPath?

Котяра, A variable named StubPath is specified for most component keys in the aforementioned section of HKEY_LOCAL_MACHINE. The data in that variable provides instructions about what that setting in the new user profile should be. It points to a program file or .inf files. For program files, it commonly contains instructions, such as values and APIs. For .inf files, it points to a specific section containing the data to be added to the User hive. >> (http://support.microsoft.com/kb/238441)
обрабатывается при входе (LogIn) в новую созданную пользовательскую учётную запись.

Admiral, это метод автозапуска? В данном примере wab32.exe запускался при каждом включении ПК или один раз?

Но это всего лишь предположение? »
ну, коли комментарий с viruslist не подходит...

Котяра, Registry keys at HKLM\Software\Microsoft\Active Setup\Installed Components\%APPNAME% and HKCU\Software\Microsoft\Active Setup\Installed Components\%APPNAME% are compared, and if the HKCU registry entries don't exist, or the version number of HKCU is less than HKLM, then the specified application is executed for the current user. >> (http://en.wikipedia.org/wiki/Active_Setup)
приведённый адрес реестра сравнивается с аналогичным но в HKCU, если в последним нет записей вовсе или они для младшей версии, то приложение указанное в StubPath выполняется для пользователя вошедшего в систему. Естественно если снести эти параметры, то приложение запустится при очередном входе в систему этого пользователя.