Справочник по Windows Server 2003 (MCSE)
         

Снижение вероятности инсталляции "троянских коней"


Большинство вирусов, "червей" и "троянских коней" регистрируют свою информацию в системном реестре с тем, чтобы автоматически стартовать при загрузке операционной системы. Список излюбленных ключей, которые чаще всего используются в этих целях, приведен ниже:

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

  •  HKEY__LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce

  •  HKEYJJSERS\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices

  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce

  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx

    • Поэтому, если вы подозреваете такого рода атаку на свой компьютер, эти ключи реестра необходимо проверить в первую очередь. Более того, список таких ключей реестра постоянно пополняется. За последнее время, помимо традиционного списка ключей, приведенного выше, в него были включены и следующие ключи реестра:

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer



  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings

  •  НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Setup


  •  HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions

  •  HKLM\Software\Microsoft\Window-s\CurrentVersion\Uninstall

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc

  •  HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList

  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW

    • Разумеется, приведенные здесь советы и рекомендации не заменят собой ни антивирусного программного обеспечения, ни системы обнаружения атак. Однако они все же смогут обеспечить хотя бы минимальную защиту от неприятных "подарков" и рекомендуются в качестве дополнительных защитных мер.

    Итак, чтобы минимизировать риск инсталляции "троянских коней", следует запретить этим программам доступ к реестру путем установки аудита на доступ к перечисленным ключам и редактирования прав доступа к ним. Общая рекомендация сводится к следующему: права типа Full Control к этим ключам должны иметь только пользователи из группы Administrators и встроенная учетная запись SYSTEM. В Windows XP и Windows Server 2003 эта задача выполняется с помощью редактора реестра Regedit.exe.


    Содержание раздела