Защита от "троянов"

Вредоносная программа может быть запущена с использованием:

1. файлов autoexec.bat, config.sys – эти варианты используют не часто.

2. файла win.ini. Запись программ в строки Run и Load обеспечивает их запуск системой

3. папки Автозагрузка

4. ключей реестра, содержащих автоматически запускаемые программы:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

Через групповую политику можно отключить автозапуск программ при старте системы, прописанных в параметрах Run и RunOnce. Для этого в командной строке вводим gpedit.msc. жмём OK, Выбираем Конфигурация компьютера | Административные шаблоны | Система | Вход в систему | параметры: Не обрабатывать. И то же самое в разделе для пользователя. В то же время необходимые для запуска программы можно прописать для автозапуска через параметр групповой политики в ветвях:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

5. Browser helper object
(BHO) – в Windows можно
встраивать специальные программы в браузер Internet Explorer, предназначенные для расширения
его возможностей. Хакеры часто используют такие программы, так как они имеют
практически неограниченный доступ к локальной системе. Они подключаются в этой ветви реестра по своему GUID:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects

Так как среди подобных программ присутствуют и полезные, то
при анализе системы нужно найти в реестре ту программу, которая
зарегистрировала данный GUID.
Для этого можно использовать утилиту HijackThis (http://www.spywareinfo.com).

6. ключей реестра, про которые часто забывают:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjectsDelayLoad

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts

HKEY_LOCAL_MACHINE
\Software\Policies\Microsoft\Windows\System\Scripts

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_Dlls

Очень часто вредоносные программы маскируют своё присутствие
путём создания непримечательных процессов, которые в свою очередь запускают сам
вирус. В таких случаях помогут утилиты, отображающие зависимость процессов. К
ним относится Process Explorer.

7. программ, запуск которых назначен в расписании
(контролируется просмотром назначенных заданий).

8. ActiveX.
Этот вариант сейчас используют редко, так как в современных ОС требуется явное
согласие пользователя. И всегда можно просмотреть установленные модули и
удалить подозрительные. Свойства обозревателя | Общие | Параметры
| Просмотр объектов.

9. служб и драйверов. Установленный в виде службы или
драйвера вирус сложно обнаружить, так как пользователю необходимо знать точные
настройки системы и список драйверов. Основной способ защиты от таких установок
– отказ от использования учётных записей с правами администратора в ежедневной
работе.