Die derzeit beliebten ASP-Trojaner nutzen hauptsächlich drei Technologien, um entsprechende Vorgänge auf dem Server auszuführen.
1. Verwenden Sie die FileSystemObject-Komponente
FileSystemObject kann reguläre Vorgänge für Dateien ausführen
Sie können den Schaden solcher Trojaner verhindern, indem Sie die Registrierung ändern und diese Komponente umbenennen.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Ändern Sie den Namen in einen anderen Namen, z. B.: FileSystemObject_ChangeName
Damit können Sie diese Komponente bei zukünftigen Aufrufen normal aufrufen.
Ändern Sie auch den clsid-Wert
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDProjektwert
Sie können es auch löschen, um den Schaden durch solche Trojaner zu verhindern.
Heben Sie die Registrierung dieser Komponente auf: Befehl RegSrv32 /u C:WINNTSYSTEMscrrun.dll
Deaktivieren Sie Gastbenutzern die Verwendung von scrrun.dll, um zu verhindern, dass diese Komponente aufgerufen wird.
Verwenden Sie den Befehl: cacls C:WINNTsystem32scrrun.dll /e /d Guests
2. Verwenden Sie die WScript.Shell-Komponente
WScript.Shell kann den Systemkernel aufrufen, um grundlegende DOS-Befehle auszuführen
Sie können den Schaden solcher Trojaner verhindern, indem Sie die Registrierung ändern und diese Komponente umbenennen.
HKEY_CLASSES_ROOTWScript.Shell
Und
HKEY_CLASSES_ROOTWScript.Shell.1
Ändern Sie den Namen in einen anderen Namen, beispielsweise: WScript.Shell_ChangeName oder WScript.Shell.1_ChangeName
Damit können Sie diese Komponente bei zukünftigen Aufrufen normal aufrufen.
Ändern Sie auch den clsid-Wert
HKEY_CLASSES_ROOTWScript.ShellCLSIDProjektwert
HKEY_CLASSES_ROOTWScript.Shell.1CLSIDvalue des Projekts
Sie können es auch löschen, um den Schaden durch solche Trojaner zu verhindern.
3. Verwenden Sie die Shell.Application-Komponente
Shell.Application kann den Systemkernel aufrufen, um grundlegende DOS-Befehle auszuführen
Sie können den Schaden solcher Trojaner verhindern, indem Sie die Registrierung ändern und diese Komponente umbenennen.
HKEY_CLASSES_ROOTShell.Application
Und
HKEY_CLASSES_ROOTShell.Application.1
Ändern Sie den Namen in einen anderen Namen, beispielsweise: Shell.Application_ChangeName oder Shell.Application.1_ChangeName
Damit können Sie diese Komponente bei zukünftigen Aufrufen normal aufrufen.
Ändern Sie auch den clsid-Wert
HKEY_CLASSES_ROOTShell.ApplicationCLSIDProjektwert
HKEY_CLASSES_ROOTShell.ApplicationCLSIDProjektwert
Sie können es auch löschen, um den Schaden durch solche Trojaner zu verhindern.
Deaktivieren Sie Gastbenutzern die Verwendung von „shell32.dll“, um zu verhindern, dass diese Komponente aufgerufen wird.
Verwenden Sie den Befehl: cacls C:WINNTsystem32shell32.dll /e /d Guests
Hinweis: Alle Vorgänge erfordern einen Neustart des WEB-Dienstes, damit sie wirksam werden.
4. Rufen Sie Cmd.exe auf
Verhindern Sie, dass Benutzer der Gruppe „Gäste“ cmd.exe aufrufen
cacls C:WINNTsystem32Cmd.exe /e /d Gäste
Die oben genannten vierstufigen Einstellungen können grundsätzlich mehrere derzeit beliebte Trojaner verhindern. Am effektivsten ist es jedoch, umfassende Sicherheitseinstellungen zu verwenden, um die Server- und Programmsicherheit auf einen bestimmten Standard zu bringen. Nur dann kann die Sicherheitsstufe höher eingestellt werden, um weitere Eindringlinge zu verhindern .