Карточка риска

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

При открытии файла проверяется программа по умолчанию, используемая для открытия файла (так называемая ассоциация файлов). Выбранные ассоциации файлов хранятся в реестре Windows и могут быть отредактированы пользователями, администраторами или программами, имеющими доступ к реестру, или администраторами с помощью встроенной утилиты assoc. 
Например, ассоциации системных файлов перечислены в разделе реестра:

HKEY_CLASSES_ROOT\.[extension]

Обработчики указаны по пути:

HKEY_CLASSES_ROOT\[handler]

Значения перечисленных ключей реестра являются командами, которые выполняются, когда обработчик открывает расширение файла:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\print\command
HKEY_CLASSES_ROOT\txtfile\shell\printto\command

Злоумышленники могут закрепиться в ОС изменив соответствующим образом приложения по умолчанию для популярных расширений или изменив выполняемые действия при открытии файлов. 

Microsoft Windows любых версий