Les chevaux de Troie ASP actuellement populaires utilisent principalement trois technologies pour effectuer des opérations associées sur le serveur.
1. Utilisez le composant FileSystemObject
FileSystemObject peut effectuer des opérations régulières sur les fichiers
Vous pouvez empêcher les dommages causés par ces chevaux de Troie en modifiant le registre et en renommant ce composant.
HKEY_CLASSES_ROOTScripting.FileSystemObject
Remplacez le nom par un autre nom, tel que : FileSystemObject_ChangeName
Vous pouvez l'utiliser pour appeler ce composant normalement lorsque vous l'appelez ultérieurement.
Modifiez également la valeur clsid
Valeur HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDProject
Vous pouvez également le supprimer pour éviter les dommages causés par ces chevaux de Troie.
Annulez l'enregistrement de cette commande de composant : RegSrv32 /u C:WINNTSYSTEMscrrun.dll
Empêchez les utilisateurs invités d’utiliser scrrun.dll pour empêcher l’appel de ce composant.
Utilisez la commande : cacls C:WINNTsystem32scrrun.dll /e /d invités
2. Utilisez le composant WScript.Shell
WScript.Shell peut appeler le noyau système pour exécuter les commandes DOS de base
Vous pouvez empêcher les dommages causés par ces chevaux de Troie en modifiant le registre et en renommant ce composant.
HKEY_CLASSES_ROOTWScript.Shell
et
HKEY_CLASSES_ROOTWScript.Shell.1
Remplacez le nom par un autre nom, tel que : WScript.Shell_ChangeName ou WScript.Shell.1_ChangeName
Vous pouvez l'utiliser pour appeler ce composant normalement lorsque vous l'appelez ultérieurement.
Modifiez également la valeur clsid
Valeur HKEY_CLASSES_ROOTWScript.ShellCLSIDProject
HKEY_CLASSES_ROOTWScript.Shell.1CLSIDvalue du projet
Vous pouvez également le supprimer pour éviter les dommages causés par ces chevaux de Troie.
3. Utilisez le composant Shell.Application
Shell.Application peut appeler le noyau système pour exécuter les commandes DOS de base
Vous pouvez empêcher les dommages causés par ces chevaux de Troie en modifiant le registre et en renommant ce composant.
HKEY_CLASSES_ROOTShell.Application
et
HKEY_CLASSES_ROOTShell.Application.1
Remplacez le nom par un autre nom, tel que : Shell.Application_ChangeName ou Shell.Application.1_ChangeName
Vous pouvez l'utiliser pour appeler ce composant normalement lorsque vous l'appelez ultérieurement.
Modifiez également la valeur clsid
Valeur HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
Valeur HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
Vous pouvez également le supprimer pour éviter les dommages causés par ces chevaux de Troie.
Empêchez les utilisateurs invités d’utiliser shell32.dll pour empêcher l’appel de ce composant.
Utilisez la commande : cacls C:WINNTsystem32shell32.dll /e /d invités
Remarque : Toutes les opérations nécessitent le redémarrage du service WEB pour prendre effet.
4. Appelez Cmd.exe
Empêcher les utilisateurs du groupe Invités d’appeler cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d invités
Les paramètres en quatre étapes ci-dessus peuvent essentiellement empêcher plusieurs chevaux de Troie actuellement populaires, mais le moyen le plus efficace consiste à utiliser des paramètres de sécurité complets pour que la sécurité du serveur et du programme atteigne un certain niveau. Ce n'est qu'alors que le niveau de sécurité peut être défini plus haut pour empêcher davantage d'intrusions. .