Los troyanos ASP actualmente populares utilizan principalmente tres tecnologías para realizar operaciones relacionadas en el servidor.
1. Utilice el componente FileSystemObject
FileSystemObject puede realizar operaciones regulares en archivos
Puede evitar el daño de dichos troyanos modificando el registro y cambiando el nombre de este componente.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Cambie el nombre por otro, como por ejemplo: FileSystemObject_ChangeName
Puede usar esto para llamar a este componente normalmente cuando lo llame en el futuro.
También cambie el valor clsid
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDValor del proyecto
También puede eliminarlo para evitar el daño de dichos troyanos.
Dar de baja el comando de este componente: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
Evite que los usuarios invitados utilicen scrrun.dll para evitar que se llame a este componente.
Utilice el comando: cacls C:WINNTsystem32scrrun.dll /e /d invitados
2. Utilice el componente WScript.Shell
WScript.Shell puede llamar al kernel del sistema para ejecutar comandos básicos de DOS
Puede evitar el daño de dichos troyanos modificando el registro y cambiando el nombre de este componente.
HKEY_CLASSES_ROOTWScript.Shell
y
HKEY_CLASSES_ROOTWScript.Shell.1
Cambie el nombre a otro nombre, como: WScript.Shell_ChangeName o WScript.Shell.1_ChangeName
Puede usar esto para llamar a este componente normalmente cuando lo llame en el futuro.
También cambie el valor clsid
HKEY_CLASSES_ROOTWScript.ShellCLSIDValor del proyecto
HKEY_CLASSES_ROOTWScript.Shell.1CLSIDvalor del proyecto
También puede eliminarlo para evitar el daño de dichos troyanos.
3. Utilice el componente Shell.Application
Shell.Application puede llamar al kernel del sistema para ejecutar comandos básicos de DOS
Puede evitar el daño de dichos troyanos modificando el registro y cambiando el nombre de este componente.
HKEY_CLASSES_ROOTShell.Aplicación
y
HKEY_CLASSES_ROOTShell.Application.1
Cambie el nombre a otro nombre, como: Shell.Application_ChangeName o Shell.Application.1_ChangeName
Puede usar esto para llamar a este componente normalmente cuando lo llame en el futuro.
También cambie el valor clsid
HKEY_CLASSES_ROOTShell.ApplicationCLSIDValor del proyecto
HKEY_CLASSES_ROOTShell.ApplicationCLSIDValor del proyecto
También puede eliminarlo para evitar el daño de dichos troyanos.
Evite que los usuarios invitados utilicen shell32.dll para evitar que se llame a este componente.
Utilice el comando: cacls C:WINNTsystem32shell32.dll /e /d invitados
Nota: Todas las operaciones requieren reiniciar el servicio WEB para que surtan efecto.
4. Llame a cmd.exe
Deshabilite a los usuarios del grupo Invitados para que no llamen a cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d invitados
La configuración de cuatro pasos anterior básicamente puede prevenir varios troyanos populares actualmente, pero la forma más efectiva es utilizar configuraciones de seguridad integrales para que la seguridad del servidor y del programa alcance un cierto estándar. Sólo entonces se puede establecer un nivel de seguridad más alto para evitar más intrusiones. .