Пример 5. Снижение вероятности инсталляции "троянских коней"

Большинство вирусов, "червей" и "троянских коней" регистрируют свою информацию в системном реестре с тем, чтобы автоматически стартовать при загрузке операционной системы. Список излюбленных ключей, которые чаще всего используются в этих целях, приведен ниже:

•  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
•  HKEY__LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
•  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
•  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
•  HKEYJJSERS\DEFAULT\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
•  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
•  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
•  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
•  HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
•  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx

Поэтому, если вы подозреваете такого рода атаку на свой компьютер, эти ключи реестра необходимо проверить в первую очередь. Более того, список таких ключей реестра постоянно пополняется. За последнее время, помимо традиционного списка ключей, приведенного выше, в него были включены и следующие ключи реестра:

•  HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths
•  HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder
•  HKLM\Software\Microsoft\Windows\CurrentVersion\DeleteFiles
•  HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
•  HKLM\Software\Microsoft\Windows\CurrentVersion\Extensions
•  HKLM\Software\Microsoft\Windows\CurrentVersion\ExtShellViews
•  HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
•  НКM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage
•  HKLM\Software\Microsoft\Windows\CurrentVersion\RenameFiles
•  HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
•  HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs
•  HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
•  HKLM\Software\Microsoft\Window-s\CurrentVersion\Uninstall
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\drivers.desc
•  HKLMXSoftware\Microsoft\Windows NT\CurrentVersion\Drivers32\0
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Embedding
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI Extensions
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Ports
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
•  HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW

Разумеется, приведенные здесь советы и рекомендации не заменят собой ни антивирусного программного обеспечения, ни системы обнаружения атак. Однако они все же смогут обеспечить хотя бы минимальную защиту от неприятных "подарков" и рекомендуются в качестве дополнительных защитных мер.
Итак, чтобы минимизировать риск инсталляции "троянских коней", следует запретить этим программам доступ к реестру путем установки аудита на доступ к перечисленным ключам и редактирования прав доступа к ним. Общая рекомендация сводится к следующему: права типа Full Control к этим ключам должны иметь только пользователи из группы Administrators и встроенная учетная запись SYSTEM. В Windows XP и Windows Server 2003 эта задача выполняется с помощью редактора реестра Regedit.exe.