Пример 5. Снижение вероятности инсталляции "троянских коней"


Большинство вирусов, "червей" и "троянских коней" регистрируют свою информацию в системном реестре с тем, чтобы автоматически стартовать при загрузке операционной системы. Список излюбленных ключей, которые чаще всего используются в этих целях, приведен ниже:

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
  •  HKEY__LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
  •  HKEYJJSERS\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
  •  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx

Поэтому, если вы подозреваете такого рода атаку на свой компьютер, эти ключи реестра необходимо проверить в первую очередь. Более того, список таких ключей реестра постоянно пополняется. За последнее время, помимо традиционного списка ключей, приведенного выше, в него были включены и следующие ключи реестра:

  •  HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
  •  НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs
  •  HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
  •  HKLM\Software\Microsoft\Window-s\CurrentVersion\Uninstall
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc
  •  HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
  •  HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW

Разумеется, приведенные здесь советы и рекомендации не заменят собой ни антивирусного программного обеспечения, ни системы обнаружения атак. Однако они все же смогут обеспечить хотя бы минимальную защиту от неприятных "подарков" и рекомендуются в качестве дополнительных защитных мер.
Итак, чтобы минимизировать риск инсталляции "троянских коней", следует запретить этим программам доступ к реестру путем установки аудита на доступ к перечисленным ключам и редактирования прав доступа к ним. Общая рекомендация сводится к следующему: права типа Full Control к этим ключам должны иметь только пользователи из группы Administrators и встроенная учетная запись SYSTEM. В Windows XP и Windows Server 2003 эта задача выполняется с помощью редактора реестра Regedit.exe.


Используются технологии uCoz