Cómo evitar que el troyano ASP se ejecute en el servidor

El troyano ASP utiliza principalmente tres tecnologías para realizar operaciones relacionadas en el servidor.

Primero, use el componente FileSystemObject

FileSystemObject puede realizar operaciones normales en los archivos. Puede modificar el registro para cambiar el nombre de este componente para evitar este tipo de troyanos.

HKEY_CLASSES_ROOT \\ Scripting.FileSystemObject \\ cambia su nombre a otros nombres, como: cambiado a FileSystemObject_ChangeName cuando lo llame más tarde, puede llamar a este componente normalmente, y también cambiar el valor clsid
< El valor del proyecto HKEY_CLASSES_ROOT \\ Scripting.FileSystemObject \\ CLSID \\ también se puede eliminar para evitar que dichos troyanos dañen.

Anular el registro de este componente del comando: RegSrv32 /u C: \\ WINNT \\ SYSTEM \\ scrrun.dll Evita que los usuarios invitados usen scrrun.dll para evitar que se llame a este componente. Use el comando: cacls C: \\ WINNT \\ system32 \\ scrrun.dll /e /d invitados

Segundo, use el componente WScript.Shell

WScript.Shell puede llamar al kernel del sistema para ejecutar los comandos básicos de DOS para Cambie el nombre de este componente modificando el registro para evitar que dichos troyanos dañen.

HKEY_CLASSES_ROOT \\ WScript.Shell \\ y HKEY_CLASSES_ROOT \\ WScript.Shell.1 \\ cambia su nombre a otros nombres, como: WScript.Shell_ChangeName o WScript.Shell.1_ChangeName se usará cuando lo llames más tarde. Para llamar a este componente, también cambie el valor clsid al valor de HKEY_CLASSES_ROOT \\ WScript.Shell \\ CLSID \\ project. El valor del proyecto HKEY_CLASSES_ROOT \\ WScript.Shell.1 \\ CLSID \\ project también se puede eliminar para evitar tales troyanos.

Tercero, use el componente Shell.Application

Shell.Application puede llamar al kernel del sistema para ejecutar DOS. Los comandos básicos pueden ser modificados por el registro, este componente cambia de nombre para evitar este tipo de troyanos. HKEY_CLASSES_ROOT \\ Shell.Application \\ y HKEY_CLASSES_ROOT \\ Shell.Application.1 \\ cambia su nombre a otros nombres, como: Cambiar a Shell.Application_ChangeName o Shell.Application.1_ChangeName para usarlo cuando lo llame más tarde. Cambie el valor de clsid a

HKEY_CLASSES_ROOT \\ Shell.Application \\ CLSID \\ Item Value

HKEY_CLASSES_ROOT \\ Shell.Application \\ CLSID \\ Item Value

También puede Retirar para evitar el daño de tales troyanos. Los usuarios invitados tienen prohibido usar shell32.dll para evitar que se llame a este componente. Use el comando: cacls C: \\ WINNT \\ system32 \\ shell32.dll /e /d invitados

Nota: La operación tendrá efecto solo después de reiniciar el servicio WEB.

Cuarto, llame a Cmd.exe

Desactive el usuario del grupo Invitado para llamar a cmd.execacls C: \\ WINNT \\ system32 \\ Cmd.exe /e /d invitados

La configuración de pasos básicamente puede prevenir varios troyanos populares, pero la forma más efectiva es lograr un cierto nivel de seguridad del servidor y del programa a través de una configuración de seguridad completa, es posible establecer un nivel de seguridad más alto y evitar más intrusiones ilegales. Br>