Защита информации в Интернет


Выявление всех относительных путей в реестре



Выявление всех относительных путей в реестре

Эта проблема была устранена в модуле обновления MS00-052, не включенном в состав сервисного пакета SP1, поэтому этот модуль необходимо применять независимо от установки сервисного пакета. И хотя в разделе часто задаваемых вопросов компания Microsoft заявляет об отсутствии этой угрозы (http://www.microsoft.com/technet/ security/bulletin/fq00-052.asp), Альберто Арагонес (Alberto Aragones) приводит примеры других исполняемых файлов (например, rundll32.exe), для которых пути в реестре явно не указаны. Действительно, имя этого файла многократно встречается в реестре без указания абсолютного пути.
Один из способов решения проблемы состоит в выявлении всех переменных в реестре, для которых не заданы абсолютные пути, и добавлении таких путей вручную. Однако эта процедура может оказаться слишком длительной.
Возможно более эффективным решением яштяется ограничение возможности интерактивной регистрации на сервере (правда, это несколько осложняется появлением терминального сервера). И, конечно же, необходимо установить указанный выше модуль обновления. Этот модуль устраняет угрозу за счет добавления префикса %systemroot% к имени оболочки.

Возникает вопрос, как вернуть систему в нормальное состояние, если с ней уже сыграли злую шутку, описанную Альберто? На этот случай Альберто советует запустить программу %windir%\explorer.exe из командной оболочки, а затем удалить "поддельный" проводник, или просто ввести команду геп\ explorer.exe harmless.txt, а затем перезагрузить компьютер с помощью комбинации клавиш <Alt+Ctrl+Del>.




Содержание раздела