Se il server è afflitto da ASP Trojan, quindi spero che questo articolo aiuterà a risolvere i vostri problemi.
ASP ora popolare Trojan condotta principalmente attraverso tre tipi di tecnologia per il funzionamento del server.
In primo luogo, utilizzare il componente FileSystemObject
FileSystemObject può operare su file regolari, è possibile modificare il Registro di sistema, il componente è stato rinominato, per evitare il pericolo di tali Trojan.
Per HKEY_CLASSES_ROOT / Scripting.FileSystemObject / cambiato il suo nome ad altri nomi, quali: a FileSystemObject_ChangeName. Dopo il tempo della sua chiamata ad utilizzare questo si può chiamare questa componente del normale.
valore CLSID dovrà anche cambiarlo, HKEY_CLASSES_ROOT / Scripting.FileSystemObject / CLSID / oggetti di valore possono essere eliminati per evitare il pericolo di tali Trojan.
La cancellazione di questo comando componente:
Regsvr32 / u C: / WINNT/SYSTEM32/scrrun.dll
Divieto di impedire agli utenti del cliente scrrun.dll chiamare questo componente.
Utilizzare il comando:
cacls C: / WINNT/system32/scrrun.dll / e / d ospiti
In secondo luogo, la componente uso WScript.Shell
WScript.Shell eseguire il kernel di sistema DOS può essere chiamato i comandi base, è possibile modificare il Registro di sistema, il componente è stato rinominato, per evitare il pericolo di tali Trojan.
HKEY_CLASSES_ROOT / WScript.Shell / e HKEY_CLASSES_ROOT/WScript.Shell.1 / rinominato altri nomi, come ad esempio: a WScript.Shell_ChangeName o WScript.Shell.1_ChangeName. Dopo il tempo della sua chiamata a utilizzare questo componente è possibile chiamare questo normale, e dovrebbe essere il valore CLSID sta cambiando anche il mio programma.
HKEY_CLASSES_ROOT / WScript.Shell / CLSID / progetto di valore
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID / progetto di valore
Può essere eliminato per evitare il pericolo di trojan del genere.
In terzo luogo, l'uso di componenti Shell.Application
Shell.Application possibile chiamare il kernel di base per eseguire i comandi DOS, è possibile modificare il Registro di sistema, il componente è stato rinominato, per evitare il pericolo di tali Trojan.
HKEY_CLASSES_ROOT / Shell.Application /
E HKEY_CLASSES_ROOT/Shell.Application.1 /
Cambiato il suo nome ad altri nomi, come ad esempio: per Shell.Application_ChangeName o Shell.Application.1_ChangeName. Dopo il momento della sua chiamata a usare questo componente è possibile chiamare questo normale, e dovrebbe essere clsid valore è alterato anche:
HKEY_CLASSES_ROOT / Shell.Application / CLSID / progetto di valore
HKEY_CLASSES_ROOT / Shell.Application / CLSID / progetto di valore
Può essere eliminato per evitare il pericolo di trojan del genere.
Divieto di impedire agli utenti di utilizzare cliente chiamare Shell32.dll questo componente.
Utilizzare il comando:
cacls C: / WINNT/system32/shell32.dll / e / d ospiti
Nota: Le operazioni sono necessarie per riavviare il servizio WEB abbiano effetto.
4, chiamata Cmd.exe
Gli ospiti disabili gruppo di utenti chiamato cmd.exe,
cacls C: / WINNT/system32/Cmd.exe / e / d ospiti
Attraverso le quattro fasi può impedire l'impostazione corrente del più popolare dei Trojan diversi, ma la soluzione più efficace è attraverso un oggetto Impostazioni di sicurezza integrato, il server, il programma ha raggiunto un certo standard di sicurezza, si possono stabilire un livello maggiore sicurezza a prevenire ulteriori invasione illegittima.