تستخدم أحصنة طروادة ASP الشائعة حاليًا ثلاث تقنيات بشكل أساسي لتنفيذ العمليات ذات الصلة على الخادم.
1. استخدم مكون FileSystemObject
يمكن لـ FileSystemObject إجراء عمليات منتظمة على الملفات
يمكنك منع الضرر الذي تسببه أحصنة طروادة هذه عن طريق تعديل السجل وإعادة تسمية هذا المكون.
HKEY_CLASSES_ROOTScripting.FileSystemObject
تغيير الاسم إلى اسم آخر، مثل: FileSystemObject_ChangeName
يمكنك استخدام هذا لاستدعاء هذا المكون بشكل طبيعي عند الاتصال به في المستقبل.
قم أيضًا بتغيير قيمة clsid
قيمة HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDProject
يمكنك أيضًا حذفه لمنع الضرر الذي تسببه أحصنة طروادة هذه.
قم بإلغاء تسجيل أمر المكون هذا: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
قم بتعطيل المستخدمين الضيف من استخدام scrrun.dll لمنع استدعاء هذا المكون.
استخدم الأمر: cacls C:WINNTsystem32scrrun.dll /e /d الضيوف
2. استخدم مكون WScript.Shell
يمكن لـ WScript.Shell استدعاء نواة النظام لتشغيل أوامر DOS الأساسية
يمكنك منع الضرر الذي تسببه أحصنة طروادة هذه عن طريق تعديل السجل وإعادة تسمية هذا المكون.
HKEY_CLASSES_ROOTWScript.Shell
و
HKEY_CLASSES_ROOTWScript.Shell.1
تغيير الاسم إلى اسم آخر، مثل: WScript.Shell_ChangeName أو WScript.Shell.1_ChangeName
يمكنك استخدام هذا لاستدعاء هذا المكون بشكل طبيعي عند الاتصال به في المستقبل.
قم أيضًا بتغيير قيمة clsid
قيمة HKEY_CLASSES_ROOTWScript.ShellCLSIDProject
HKEY_CLASSES_ROOTWScript.Shell.1CLSIDقيمة المشروع
يمكنك أيضًا حذفه لمنع الضرر الذي تسببه أحصنة طروادة هذه.
3. استخدم مكون Shell.Application
يمكن لـ Shell.Application استدعاء نواة النظام لتشغيل أوامر DOS الأساسية
يمكنك منع الضرر الذي تسببه أحصنة طروادة هذه عن طريق تعديل السجل وإعادة تسمية هذا المكون.
HKEY_CLASSES_ROOTShell.Application
و
HKEY_CLASSES_ROOTShell.Application.1
تغيير الاسم إلى اسم آخر، مثل: Shell.Application_ChangeName أو Shell.Application.1_ChangeName
يمكنك استخدام هذا لاستدعاء هذا المكون بشكل طبيعي عند الاتصال به في المستقبل.
قم أيضًا بتغيير قيمة clsid
قيمة HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
قيمة HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
يمكنك أيضًا حذفه لمنع الضرر الذي تسببه أحصنة طروادة هذه.
قم بتعطيل المستخدمين الضيف من استخدام shell32.dll لمنع استدعاء هذا المكون.
استخدم الأمر: cacls C:WINNTsystem32shell32.dll /e /d الضيوف
ملاحظة: تتطلب كافة العمليات إعادة تشغيل خدمة الويب لتصبح نافذة المفعول.
4. اتصل بـ Cmd.exe
قم بتعطيل مستخدمي مجموعة الضيوف من الاتصال بـ cmd.exe
الضيوف cacls C:WINNTsystem32Cmd.exe /e /d
يمكن للإعدادات المكونة من أربع خطوات المذكورة أعلاه أن تمنع بشكل أساسي العديد من أحصنة طروادة الشائعة حاليًا، ولكن الطريقة الأكثر فعالية هي استخدام إعدادات الأمان الشاملة لجعل أمان الخادم والبرنامج يصل إلى مستوى معين. عندها فقط يمكن تعيين مستوى أمان أعلى لمنع المزيد من التعدي على ممتلكات الغير .