現在流行している ASP トロイの木馬は、主に 3 つのテクノロジーを使用してサーバー上で関連操作を実行します。
1. FileSystemObject コンポーネントを使用する
FileSystemObject はファイルに対して通常の操作を実行できます
レジストリを変更し、このコンポーネントの名前を変更することで、このようなトロイの木馬の被害を防ぐことができます。
HKEY_CLASSES_ROOTScripting.FileSystemObject
名前を別の名前 (FileSystemObject_ChangeName など) に変更します。
これを使用すると、今後このコンポーネントを呼び出すときに通常どおり呼び出すことができます。
clsid 値も変更します
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDProject の値
このようなトロイの木馬の被害を防ぐために削除することもできます。
このコンポーネントの登録を解除するコマンド: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
このコンポーネントが呼び出されないようにするには、ゲスト ユーザーが scrrun.dll を使用できないようにします。
コマンドを使用します: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. WScript.Shell コンポーネントを使用する
WScript.Shell はシステム カーネルを呼び出して基本的な DOS コマンドを実行できます
レジストリを変更し、このコンポーネントの名前を変更することで、このようなトロイの木馬の被害を防ぐことができます。
HKEY_CLASSES_ROOTWScript.Shell
そして
HKEY_CLASSES_ROOTWScript.Shell.1
名前を別の名前 (WScript.Shell_ChangeName または WScript.Shell.1_ChangeName など) に変更します。
これを使用すると、今後このコンポーネントを呼び出すときに通常どおり呼び出すことができます。
clsid 値も変更します
HKEY_CLASSES_ROOTWScript.ShellCLSIDプロジェクトの値
HKEY_CLASSES_ROOTWScript.Shell.1CLSIDプロジェクトの値
このようなトロイの木馬の被害を防ぐために削除することもできます。
3. Shell.Application コンポーネントを使用する
Shell.Application はシステム カーネルを呼び出して基本的な DOS コマンドを実行できます。
レジストリを変更し、このコンポーネントの名前を変更することで、このようなトロイの木馬の被害を防ぐことができます。
HKEY_CLASSES_ROOTShell.Application
そして
HKEY_CLASSES_ROOTShell.Application.1
名前を別の名前 (Shell.Application_ChangeName または Shell.Application.1_ChangeName など) に変更します。
これを使用すると、今後このコンポーネントを呼び出すときに通常どおり呼び出すことができます。
clsid 値も変更します
HKEY_CLASSES_ROOTShell.ApplicationCLSIDプロジェクトの値
HKEY_CLASSES_ROOTShell.ApplicationCLSIDプロジェクトの値
このようなトロイの木馬の被害を防ぐために削除することもできます。
このコンポーネントが呼び出されないようにするには、ゲスト ユーザーが shell32.dll を使用できないようにします。
コマンドを使用します: cacls C:WINNTsystem32shell32.dll /e /d guest
注: すべての操作を有効にするには、WEB サービスを再起動する必要があります。
4. Cmd.exeを呼び出す
ゲスト グループ ユーザーによる cmd.exe の呼び出しを無効にする
cacls C:WINNTsystem32Cmd.exe /e /d ゲスト
上記の 4 段階の設定で、現在流行しているいくつかのトロイの木馬を基本的に防ぐことができますが、最も効果的な方法は、包括的なセキュリティ設定を使用して、サーバーとプログラムのセキュリティを一定の基準に達させて初めて、さらなるトレスパスを防ぐためにセキュリティ レベルを高く設定することです。 。