Пример 5. Снижение вероятности инсталляции "троянских коней"

Большинство вирусов, "червей" и "троянских коней" регистрируют свою информацию в системном реестре с тем, чтобы автоматически стартовать при загрузке операционной системы. Список излюбленных ключей, которые чаще всего используются в этих целях, приведен ниже:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
• HKEY__LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
• HKEYJJSERS\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx

Поэтому, если вы подозреваете такого рода атаку на свой компьютер, эти ключи реестра необходимо проверить в первую очередь. Более того, список таких ключей реестра постоянно пополняется. За последнее время, помимо традиционного списка ключей, приведенного выше, в него были включены и следующие ключи реестра:

• HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths
• HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder
• HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
• HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
• HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews
• HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
• НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
• HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles
• HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
• HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs
• HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
• HKLM\Software\Microsoft\Window-s\CurrentVersion\Uninstall
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc
• HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW

Разумеется, приведенные здесь советы и рекомендации не заменят собой ни антивирусного программного обеспечения, ни системы обнаружения атак. Однако они все же смогут обеспечить хотя бы минимальную защиту от неприятных "подарков" и рекомендуются в качестве дополнительных защитных мер.
Итак, чтобы минимизировать риск инсталляции "троянских коней", следует запретить этим программам доступ к реестру путем установки аудита на доступ к перечисленным ключам и редактирования прав доступа к ним. Общая рекомендация сводится к следующему: права типа Full Control к этим ключам должны иметь только пользователи из группы Administrators и встроенная учетная запись SYSTEM. В Windows XP и Windows Server 2003 эта задача выполняется с помощью редактора реестра Regedit.exe.