โทรจัน ASP ที่ได้รับความนิยมในปัจจุบันส่วนใหญ่ใช้เทคโนโลยีสามประการเพื่อดำเนินการที่เกี่ยวข้องบนเซิร์ฟเวอร์
1. ใช้ส่วนประกอบ FileSystemObject
FileSystemObject สามารถดำเนินการกับไฟล์ได้ตามปกติ
คุณสามารถป้องกันอันตรายจากโทรจันดังกล่าวได้โดยการแก้ไขรีจิสทรีและเปลี่ยนชื่อส่วนประกอบนี้
HKEY_CLASSES_ROOTScripting.FileSystemObject
เปลี่ยนชื่อเป็นชื่ออื่น เช่น: FileSystemObject_ChangeName
คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบนี้ตามปกติเมื่อคุณเรียกมันในอนาคต
เปลี่ยนค่า clsid ด้วย
ค่า HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSIDProject
คุณยังสามารถลบออกได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
ยกเลิกการลงทะเบียนคำสั่งส่วนประกอบนี้: RegSrv32 /u C:WINNTSYSTEMscrrun.dll
ปิดการใช้งานผู้ใช้ทั่วไปจากการใช้ scrrun.dll เพื่อป้องกันไม่ให้คอมโพเนนต์นี้ถูกเรียก
ใช้คำสั่ง: cacls C:WINNTsystem32scrrun.dll /e /d guest
2. ใช้ส่วนประกอบ WScript.Shell
WScript.Shell สามารถเรียกเคอร์เนลของระบบเพื่อรันคำสั่ง DOS พื้นฐานได้
คุณสามารถป้องกันอันตรายจากโทรจันดังกล่าวได้โดยการแก้ไขรีจิสทรีและเปลี่ยนชื่อส่วนประกอบนี้
HKEY_CLASSES_ROOTWScript.เชลล์
และ
HKEY_CLASSES_ROOTWScript.Shell.1
เปลี่ยนชื่อเป็นชื่ออื่น เช่น WScript.Shell_ChangeName หรือ WScript.Shell.1_ChangeName
คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบนี้ตามปกติเมื่อคุณเรียกมันในอนาคต
เปลี่ยนค่า clsid ด้วย
ค่า HKEY_CLASSES_ROOTWScript.ShellCLSIDProject
HKEY_CLASSES_ROOTWScript.Shell.1CLSIDvalue ของโครงการ
คุณยังสามารถลบออกได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
3. ใช้ส่วนประกอบ Shell.Application
Shell.Application สามารถเรียกเคอร์เนลของระบบเพื่อรันคำสั่ง DOS พื้นฐานได้
คุณสามารถป้องกันอันตรายจากโทรจันดังกล่าวได้โดยการแก้ไขรีจิสทรีและเปลี่ยนชื่อส่วนประกอบนี้
HKEY_CLASSES_ROOTShell.Application
และ
HKEY_CLASSES_ROOTShell.Application.1
เปลี่ยนชื่อเป็นชื่ออื่น เช่น: Shell.Application_ChangeName หรือ Shell.Application.1_ChangeName
คุณสามารถใช้สิ่งนี้เพื่อเรียกส่วนประกอบนี้ตามปกติเมื่อคุณเรียกมันในอนาคต
เปลี่ยนค่า clsid ด้วย
ค่า HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
ค่า HKEY_CLASSES_ROOTShell.ApplicationCLSIDProject
คุณยังสามารถลบออกได้เพื่อป้องกันอันตรายจากโทรจันดังกล่าว
ปิดการใช้งานผู้ใช้ทั่วไปจากการใช้ shell32.dll เพื่อป้องกันไม่ให้คอมโพเนนต์นี้ถูกเรียก
ใช้คำสั่ง: cacls C:WINNTsystem32shell32.dll /e /d guest
หมายเหตุ: การดำเนินการทั้งหมดจำเป็นต้องรีสตาร์ทบริการเว็บจึงจะมีผล
4. โทร Cmd.exe
ปิดการใช้งานผู้ใช้กลุ่มแขกจากการเรียก cmd.exe
cacls C:WINNTsystem32Cmd.exe /e /d แขก
การตั้งค่าสี่ขั้นตอนข้างต้นสามารถป้องกันโทรจันที่ได้รับความนิยมในปัจจุบันได้หลายตัว แต่วิธีที่มีประสิทธิภาพมากที่สุดคือการใช้การตั้งค่าความปลอดภัยที่ครอบคลุมเพื่อทำให้เซิร์ฟเวอร์และโปรแกรมมีความปลอดภัยถึงมาตรฐานที่กำหนด จากนั้นจึงจะสามารถตั้งค่าระดับความปลอดภัยให้สูงขึ้นเพื่อป้องกันการบุกรุกได้มากขึ้น .