EnableLUA - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

오늘 처음으로 이 값을 변조하는 프로그램을 봤다.
Bagle 변종인데 실행 도중 이 값을 0x00 으로 SetValue 한다.

Limited User Account (LUA)

'사용자 계정'관련 제한을 의미한다.

Key     : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Value   : "EnableLUA"
Type    : REG_DWORD
Data     : This MUST be a value in the following table.

  0x00000000 : Disabling this policy disables the "administrator in Admin Approval Mode" user type.
  0x00000001 : This policy enables the "administrator in Admin Approval Mode" user type while
                    also enabling all other User Account Control (UAC) policies.

"Admin Approval Mode" 란 Vista 에서의 UAC 와 같이 특정 권한 이상의 작업을 수행할 때 '관리자(Admin)'의 허용을 얻어서 실행하는 것을 말한다.

만약, 이 기능이 꺼져있다면 위 그림과 같은 '허용' 절차가 없이 바로 실행되기 때문에 보안 이슈가 발생할 수 있다.