Параметры, в которых могут прописаться вирусы, трояны и шпионские программы:
1. В ключе Image File Execution Options вирус может прописаться отладчиком для любого exe или dll файла. Для этого он создает ключ с именем целевого файла и в этом ключе прописывается в параметре Debugger)
2. В параметре AppInit_DLLs может быть прописан любой dll-файл, который будет загружаться при запуске каждой програмы. Этим часто пользуются вирусы, поэтому желательно, чтобы этот параметр был пустым.
3. В ключе Winlogon есть несколько параметров, в которых прописаны ссылки на системные приложения. Параметр Shell должен иметь значение Explorer.exe, если вы не пользуетесь альтернативной оболочкой. Параметр UIHost должен ссылаться на файл logonui.exe. Параметр Userinit должен ссылаться на файл "C:\WINDOWS\system32\userinit.exe,"
По этим адресам могут прописаться различные баннеры-вымогатели, требующие отправить SMS на какой-то номер или пополнить чей-то счёт. При этом невозможно запускать какие-либо программы. Есть один несложный, но не всегда работающий способ уничтожения вируса: нажать комбинацию Win+U на клавиатуре — появится окно специальных возможностей. Оно имеет очень высокий приоритет, и баннер-вирус не может его заблокировать. Далее нужно запустить из этого окна экранную лупу. В окне экранной лупы есть ссылка «Web-узел Microsoft». Нужно нажать на неё, запустится Internet Explorer. После его запуска можно скачивать любые программы, которые могут помочь в борьбе со вирусом (такие, как AVZ или CureIT) и запускать программы с жёсткого диска (ввести путь в строке адреса). Если этот способ не помог, то для очистки системы от этого вируса вам понадобится Windows Live CD или второй компьютер и программа RegeditPE.
Примечание: некоторые антивирусы могут удалить файл вируса, но не исправить вышеперечисленные параметры реестра, ссылающиеся на вирус.
4. В ключе Notify могут прописаться любые вирусы, чаще всего баннеры-вымогатели.
5. В ключе SharedTaskScheduler может прописаться любой DLL файл, который будет загружаться при запуске Windows Explorer.
6. Запрет на запуск редактора реестра, диспетчера задач и командной строки. За эти запреты отвечают 3 параметра:
DisableRegistryTools
DisableTaskMgr
DisableCMD
8. В ключе HKCU\EUDC\Language может быть создан специально сформированый параметр SystemDefaultEUDCFont, с помощью которого вредоносная программа может выполнить любую команду с правами системы. Если у вас нет соответствующего обновления и возможности его установить, следует создать ключ EUDC в HKCU и задать ему в разрешениях "Все - Разрешить - Чтение", остальные учётные записи убрать из списка разрешений.
9. Самое невидимое и неприятное - руткиты. Они прописываются как службы (драйвера), поэтому в заражённой системе их невозможно увидеть. Для удаления ссылок на них из реестра нужно с другой (не заражённой) ОС на другом разделе, жёстком диске или диске Windows Live CD воспользоваться программой RegeditPE. Пользоваться программой очень просто: нужно указать папку Windows на диске с заражённой системой и несколько раз нажать кнопку "Открыть". Загружать пользовательскую часть реестра (user hive, файл ntuser.dat) не нужно. После этого реестр заражённой системы будет расположен по адресу HKLM\REMOTE_HIVE, где HIVE - название раздела реестра заражённой системы (software, system, security, sam).
Способы борьбы с вредоносным ПО с помощью реестра
1) Блокировка запуска вредоносных программ по имени файла
В Windows есть возможность блокировки программ по имени исполняемого файла без установки постороннего ПО.
Способ №1.
В ключе Explorer создать DWORD параметр DisallowRun со значением 1 и ключ с таким же именем. В нём создать строковые параметры, имена которых должны быть их порядковыми номерами (начиная от 0), в значении этих параметров - полное имя вредоносного файла (с расширением, путь задавать не нужно).
Преимущества:
1. Обеспечивает защиту от вирусов, которые не прописаны в автозагрузке и запускаются из проводника Windows.
2. Можно импортировать базу запрещённых программ и перенести на другие компьютеры
Недостатки:
1. Не действует против вирусов, которые запускаются от имени любого другого процесса (не explorer.exe)
2. Не действует против вирусов с динамическими именами.
3. Нельзя заблокировать DLL-файлы.
Способ №2:
Открываем secpol.msc, находим "Политики ограниченного использования программ", нажимаем "Создать политики". Входим в "Дополнительные правила", выбираем "Создать правило для пути", вводим имя вирусного файла и ставим "запретить". Если у вас есть экземпляр вредоносного файла, то можно воспользоваться возможностью "Создать правило для хеша". Для этого нужно нажать кнопку "Обзор", найти и выбрать вредоносный файл.
Преимущества:
1. Обеспечивает защиту против внесённых в список вирусов со статичными именами.
2. Есть возможность блокировки по хешу. Это значит, что могут быть заблокированы вирусы с динамическими именами, если содержимое их файлов не меняется.
3. Распространяется на файлы с любыми расширениями, указанным в списке "назначенные типы файлов"
4. Можно блокировать загрузку DLL файлов, если от них не зависит напрямую вызвавшая их библиотека или процесс. Зависимости библиотек можно проверить с помощью программы Dependency Walker.
Недостатки:
1. Сложности с переносом списка заблокированных программ с компьютера на компьютер.
2. Не работает против вирусов, которые при самокопировании дописывают в конец файла "мусор" для изменения его размера.
3. Не работает против DLL-файлов в некоторых случаях.
4. Настраивается переключением между "разрешить/запретить", а не правами доступа в синтаксисе SDDL. Это значит, что нельзя задать, какому пользователю можно запускать файлы с указанным именем или хешем, а какому - нельзя.
5. Можно обойти с помощью утилит, подобных gpdisable, даже с пользовательскими правами. Эта уязвимость существет давно, но устранять её никто не собирается, делая вид, что "так и было спроектировано" (подробности здесь).
2) Блокировка IP-адресов вредоносных и рекламных сайтов с помощью IPSec
См. здесь.
1. В ключе Image File Execution Options вирус может прописаться отладчиком для любого exe или dll файла. Для этого он создает ключ с именем целевого файла и в этом ключе прописывается в параметре Debugger)
2. В параметре AppInit_DLLs может быть прописан любой dll-файл, который будет загружаться при запуске каждой програмы. Этим часто пользуются вирусы, поэтому желательно, чтобы этот параметр был пустым.
3. В ключе Winlogon есть несколько параметров, в которых прописаны ссылки на системные приложения. Параметр Shell должен иметь значение Explorer.exe, если вы не пользуетесь альтернативной оболочкой. Параметр UIHost должен ссылаться на файл logonui.exe. Параметр Userinit должен ссылаться на файл "C:\WINDOWS\system32\userinit.exe,"
По этим адресам могут прописаться различные баннеры-вымогатели, требующие отправить SMS на какой-то номер или пополнить чей-то счёт. При этом невозможно запускать какие-либо программы. Есть один несложный, но не всегда работающий способ уничтожения вируса: нажать комбинацию Win+U на клавиатуре — появится окно специальных возможностей. Оно имеет очень высокий приоритет, и баннер-вирус не может его заблокировать. Далее нужно запустить из этого окна экранную лупу. В окне экранной лупы есть ссылка «Web-узел Microsoft». Нужно нажать на неё, запустится Internet Explorer. После его запуска можно скачивать любые программы, которые могут помочь в борьбе со вирусом (такие, как AVZ или CureIT) и запускать программы с жёсткого диска (ввести путь в строке адреса). Если этот способ не помог, то для очистки системы от этого вируса вам понадобится Windows Live CD или второй компьютер и программа RegeditPE.
Примечание: некоторые антивирусы могут удалить файл вируса, но не исправить вышеперечисленные параметры реестра, ссылающиеся на вирус.
4. В ключе Notify могут прописаться любые вирусы, чаще всего баннеры-вымогатели.
5. В ключе SharedTaskScheduler может прописаться любой DLL файл, который будет загружаться при запуске Windows Explorer.
6. Запрет на запуск редактора реестра, диспетчера задач и командной строки. За эти запреты отвечают 3 параметра:
DisableRegistryTools
DisableTaskMgr
DisableCMD
8. В ключе HKCU\EUDC\Language может быть создан специально сформированый параметр SystemDefaultEUDCFont, с помощью которого вредоносная программа может выполнить любую команду с правами системы. Если у вас нет соответствующего обновления и возможности его установить, следует создать ключ EUDC в HKCU и задать ему в разрешениях "Все - Разрешить - Чтение", остальные учётные записи убрать из списка разрешений.
9. Самое невидимое и неприятное - руткиты. Они прописываются как службы (драйвера), поэтому в заражённой системе их невозможно увидеть. Для удаления ссылок на них из реестра нужно с другой (не заражённой) ОС на другом разделе, жёстком диске или диске Windows Live CD воспользоваться программой RegeditPE. Пользоваться программой очень просто: нужно указать папку Windows на диске с заражённой системой и несколько раз нажать кнопку "Открыть". Загружать пользовательскую часть реестра (user hive, файл ntuser.dat) не нужно. После этого реестр заражённой системы будет расположен по адресу HKLM\REMOTE_HIVE, где HIVE - название раздела реестра заражённой системы (software, system, security, sam).
Способы борьбы с вредоносным ПО с помощью реестра
1) Блокировка запуска вредоносных программ по имени файла
В Windows есть возможность блокировки программ по имени исполняемого файла без установки постороннего ПО.
Способ №1.
В ключе Explorer создать DWORD параметр DisallowRun со значением 1 и ключ с таким же именем. В нём создать строковые параметры, имена которых должны быть их порядковыми номерами (начиная от 0), в значении этих параметров - полное имя вредоносного файла (с расширением, путь задавать не нужно).
Преимущества:
1. Обеспечивает защиту от вирусов, которые не прописаны в автозагрузке и запускаются из проводника Windows.
2. Можно импортировать базу запрещённых программ и перенести на другие компьютеры
Недостатки:
1. Не действует против вирусов, которые запускаются от имени любого другого процесса (не explorer.exe)
2. Не действует против вирусов с динамическими именами.
3. Нельзя заблокировать DLL-файлы.
Способ №2:
Открываем secpol.msc, находим "Политики ограниченного использования программ", нажимаем "Создать политики". Входим в "Дополнительные правила", выбираем "Создать правило для пути", вводим имя вирусного файла и ставим "запретить". Если у вас есть экземпляр вредоносного файла, то можно воспользоваться возможностью "Создать правило для хеша". Для этого нужно нажать кнопку "Обзор", найти и выбрать вредоносный файл.
Преимущества:
1. Обеспечивает защиту против внесённых в список вирусов со статичными именами.
2. Есть возможность блокировки по хешу. Это значит, что могут быть заблокированы вирусы с динамическими именами, если содержимое их файлов не меняется.
3. Распространяется на файлы с любыми расширениями, указанным в списке "назначенные типы файлов"
4. Можно блокировать загрузку DLL файлов, если от них не зависит напрямую вызвавшая их библиотека или процесс. Зависимости библиотек можно проверить с помощью программы Dependency Walker.
Недостатки:
1. Сложности с переносом списка заблокированных программ с компьютера на компьютер.
2. Не работает против вирусов, которые при самокопировании дописывают в конец файла "мусор" для изменения его размера.
3. Не работает против DLL-файлов в некоторых случаях.
4. Настраивается переключением между "разрешить/запретить", а не правами доступа в синтаксисе SDDL. Это значит, что нельзя задать, какому пользователю можно запускать файлы с указанным именем или хешем, а какому - нельзя.
5. Можно обойти с помощью утилит, подобных gpdisable, даже с пользовательскими правами. Эта уязвимость существет давно, но устранять её никто не собирается, делая вид, что "так и было спроектировано" (подробности здесь).
2) Блокировка IP-адресов вредоносных и рекламных сайтов с помощью IPSec
См. здесь.