Пример 5. Снижение вероятности инсталляции "троянских коней"
Большинство вирусов, "червей" и "троянских коней" регистрируют свою информацию в системном реестре с тем, чтобы автоматически стартовать при загрузке операционной системы. Список излюбленных ключей, которые чаще всего используются в этих целях, приведен ниже:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
- HKEY__LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
- HKEYJJSERS\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx
Поэтому, если вы подозреваете такого рода атаку на свой компьютер, эти ключи реестра необходимо проверить в первую очередь. Более того, список таких ключей реестра постоянно пополняется. За последнее время, помимо традиционного списка ключей, приведенного выше, в него были включены и следующие ключи реестра:
- HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths
- HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder
- HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
- HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
- HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews
- HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
- HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles
- HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
- HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs
- HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
- HKLM\Software\Microsoft\Window-s\CurrentVersion\Uninstall
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc
- HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW
Разумеется, приведенные здесь советы и рекомендации не заменят собой ни антивирусного программного обеспечения, ни системы обнаружения атак. Однако они все же смогут обеспечить хотя бы минимальную защиту от неприятных "подарков" и рекомендуются в качестве дополнительных защитных мер.
Итак, чтобы минимизировать риск инсталляции "троянских коней", следует запретить этим программам доступ к реестру путем установки аудита на доступ к перечисленным ключам и редактирования прав доступа к ним. Общая рекомендация сводится к следующему: права типа Full Control к этим ключам должны иметь только пользователи из группы Administrators и встроенная учетная запись SYSTEM. В Windows XP и Windows Server 2003 эта задача выполняется с помощью редактора реестра Regedit.exe.
|