Твик
|
Реализуемость скриптом AVZ
|
Причины возникновения проблемы
|
Последствия
|
Troubleshutting Wizard
|
Нарушение ассоциации EXE файлов
|
tsw00001.txt
|
Автозапуск зловредов
|
|
Нарушение ассоциации COM файлов
|
tsw00002.txt
|
Автозапуск зловредов
|
|
Нарушение ассоциации PIF файлов
|
tsw00003.txt
|
Автозапуск зловредов
|
|
Нарушение ассоциации BAT файлов
|
tsw00004.txt
|
Автозапуск зловредов
|
|
Нарушение ассоциации LNK файлов
|
tsw00005.txt
|
Автозапуск зловредов
|
|
Нарушение ассоциации SCR файлов
|
tsw00006.txt
|
Автозапуск зловредов
|
|
Нарушение ассоциации REG файлов
|
tsw00007.txt
|
Автозапуск зловредов, блокировка импорта REG файлов для затруднения лечения
|
|
Блокировка редактора реестра
|
tsw00008.txt
|
Затруднение борьбы с зловредом
|
|
Блокировка диспетчера задач
|
tsw00009.txt
|
Затруднение борьбы с зловредом
|
|
Подмена диспетчера задач
|
tsw00010.txt
|
Затруднение борьбы с зловредом, экзотическая форма автозапуска. Может применяться легитимными менеджерами
|
Возможно, подмена сделана альтернативным диспетчером задач. С другой стороны, заменяя реакции на Ctrl+Alt+Del – это недопустимая вещь
|
Блокировка панели управления
|
tsw00011.txt
|
Проявления зловредов, нацеленных на блокировку работы на ПК
|
|
Ограничение отображения дисков в проводнике
|
tsw00012.txt
|
Проявления зловредов, нацеленных на блокировку работы на ПК. Визуально приводит к пропаданию дисков и невозможности работы с ними
|
|
Включено сокрытие всех элементов на рабочем столе
|
tsw00013.txt
|
Проявления зловредов, нацеленных на блокировку работы на ПК.
|
|
Модификация ключа запуска проводника
|
tsw00014.txt
|
Экзотический автозапуск
|
|
Модифицированы префиксы протоколов
|
tsw00015.txt
|
Деятельность зловредов для редиректа на рекламируемые сайты
|
|
Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
|
tsw00016.txt
|
Подобную перенастройку делают зловредные скрипты и разные порноскопы
|
|
Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
|
tsw00017.txt
|
Подобную перенастройку делают зловредные скрипты и разные порноскопы
|
|
Internet Explorer - загрузка неподписанных элементов ActiveX
|
tsw00018.txt
|
Опасная «дыра» - при наличие такой установки может скрытно загрузиться что угодно
|
|
Internet Explorer - автоматические запросы элементов управления ActiveX
|
tsw00019.txt
|
|
|
Internet Explorer – запуск программ и файлов в окне IFRAME
|
tsw00020.txt
|
|
|
Проводник - заблокирована возможность закрытия окон проводника
|
tsw00021.txt
|
Деятельность деструктивных троянов
|
|
Проводник - заблокирован доступ к сетевому окружению
|
tsw00022.txt
|
Деятельность деструктивных троянов, отключающих доступ к сетевому окружению
|
|
Заблокирована возможность завершения сеанса
|
tsw00023.txt
|
Визуальное проявление – нет опции LogOff в меню завершения работы. Применяется деструктуивными троянами
|
|
Мой компьютер - заблокирован пункт меню Управление
|
tsw00024.txt
|
Деятельность Троянов – блокировка меню «Управление» блокирует доступ к работе с пользователями, службами и т.п.
|
|
Задано сообщение, выводимое в ходе загрузки
|
tsw00025.txt
|
Не очень опасно, но раздражает. Применяется деструктивными Троянами, Hoax и т.п. – это сообщение выводится в ходе перезагрузки, обычно там сообщение о заражении ПК или текст с требованием выкупа
|
|
Отключено контекстное меню панели задач
|
tsw00026.txt
|
Деструктивные трояны, бестолковое применение твикеров
|
|
Отключено контекстное меню кнопки Пуск
|
tsw00027.txt
|
Деструктивные Трояны
|
|
Заблокировано меню Пуск\Поиск
|
tsw00028.txt
|
Деструктивные трояны, студенческие шутки
|
|
Пуск\Выполнить
|
tsw00029.txt
|
Самозащита троянов – за счет этой блокировки затрудняется лечение ПК
|
|
Заблокировано изменение свойств экрана
|
tsw00030.txt
|
Обычно идет в совокупности с изменением обоев или перенастройкой свойств экрана, часто применяется деструктивными Троянами и Hoax
|
|
Отключено отображение значков в трее
|
tsw00031.txt
|
Деструктивные Трояны
|
|
Обнаружен отладчик системного процесса
|
tsw00032.txt
|
Методика блокировки запуска системных утилит и скрытый метод запуска троянов
|
|
Заблокирована закладка Рабочий стол в окне свойств экрана
|
tsw00033.txt
|
Деструктивные Трояны,
|
|
Заблокирована закладка Заставка в окне свойств экрана
|
tsw00034.txt
|
Деструктивные Трояны,
|
|
Заблокирована закладка Параметры в окне свойств экрана
|
tsw00035.txt
|
Деструктивные Трояны,
|
|
Заблокирована закладка Оформление в окне свойств экрана
|
tsw00036.txt
|
Деструктивные Трояны,
|
|
Установлена большая задержка перед открытием меню (более секунды)
|
tsw00037.txt
|
Деструктив – меню будет открываться полчаса, с точки зрения пользователя это равносильно глобальной блокировке системных меню
|
|
Internet Explorer - заблокирована настройка домашней страницы
|
tsw00038.txt
|
Часто применяется в совокупности с подменой стартовой страницы, блокирует ее восстановление
|
|
Заблокированы настройки системы Windows Update
|
tsw00039.txt
|
Деструктивные Трояны
|
|
Заблокированы настройки системы System Restore
|
tsw00040.txt
|
Деструктивные Трояны
|
|
Заблокирована возможность подключения и отключения сетевых дисков
|
tsw00041.txt
|
Деструктивные трояны
|
|
Internet Explorer - заблокированы настройки
|
tsw00042.txt
|
Блокировок у него с полсотни, поэтому они все собраны в один скрипт проверки. Часто применяется троянами
|
|
Заблокировано отображение вложенных папок в меню Пуск
|
tsw00043.txt
|
Деструктивные Трояны
|
|
Заблокирован доступ к настройкам принтеров
|
tsw00044.txt
|
Деструктивные Трояны
|
|
Заблокирован доступ к настройкам сети
|
tsw00045.txt
|
Деструктивные Трояны
|
|
Заблокирована настройка автоматического обновления
|
tsw00046.txt
|
Деструктивные Трояны
|
|
Меню Пуск - заблокированы элементы
|
tsw00047.txt
|
Блокировок много, поэтому они все собраны в один скрипт проверки. Часто применяется Троянами
|
|
Заблокировано отображение принтеров
|
tsw00048.txt
|
Деструктивные Трояны
|
|
Отключить режим ограниченного запуска программ
|
tsw00049.txt
|
Деструктивные Трояны
|
|
Таймаут завершения процессов находится за пределами допустимых значений
|
tsw00050.txt
|
В основном деятельность разных твикеров. Вместо положенных 20 секунд они ставят 0.5-3 сек, что ускоряет завершение работы, но приводит к аварийному закрытию приложений и массе проблем (незакрытые файлы, частичное сохранение настроек, повреждение почтовых баз и т.п.)
|
Восстанавливает системную настройку в 20 секунд
|
Таймаут завершения служб находится за пределами допустимых значений
|
tsw00051.txt
|
В основном деятельность разных твикеров. Вместо положенных 20 секунд они ставят 0.5-3 сек, что ускоряет завершение работы, но приводит к аварийному закрытию приложений и массе проблем (в случае служб это особенно влияет на базы данных и WEB сервера, запускаемые в виде служб)
|
Восстанавливает системную настройку в 20 секунд
|
Заблокирован интерфейс командной строки (cmd.exe)
|
tsw00052.txt
|
Недоступен интерфейс cmd.exe, часто применяется зловредами для самозащиты
|
|
Рабочий стол - заблокировано отображение иконки Мой компьютер
|
tsw00053.txt
|
Твикеры, зловреды
|
|
Проводник - заблокирован доступ к свойствам папки
|
tsw00054.txt
|
Новые ITW зловреды блокируют это функцию (подобный семпл пойман 6.11.2007 в VirusInfo)
|
|
Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
|
tsw00055.txt
|
В основном деятельность разных твикеров. Вместо положенных 5 секунд они ставят 0.05-1 сек, в результате приложения могут ошибочно признаваться системой как зависшие, а в совокупности с некорректным таймаутом завершения будет убиваться
|
Восстанавливает системную настройку в 5 секунд
|
Заблокирован доступ к свойствам панели задач и меню Пуск
|
tsw00056.txt
|
Деятельность зловредов
|
|
Заблокирован пункт меню Справка и техподдержка
|
tsw00057.txt
|
Деятельность зловредов
|
|
BrowserTweaker
|
Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
|
bt00001.txt
|
Подобную перенастройку делают зловредные скрипты и разные порноскопы
|
|
Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
|
bt00002.txt
|
Подобную перенастройку делают зловредные скрипты и разные порноскопы
|
Эффективность кеша падает, следовательно увеличится трафик Инет
|
Internet Explorer - загрузка неподписанных элементов ActiveX
|
bt00003.txt
|
Опасная «дыра» - при наличие такой установки может скрытно загрузиться что угодно
|
В отличие от предыдущего не влияет на быстродействие
|
Internet Explorer - автоматические запросы элементов управления ActiveX
|
bt00004.txt
|
|
|
Internet Explorer - запуск программ и файлов в окне IFRAME
|
bt00005.txt
|
|
|
Модифицированы префиксы протоколов
|
bt00006.txt
|
Деятельность зловредов для редиректа на рекламируемые сайты
|
|
Очистка истории набранных URL в Internet Explorer. История позволяет установить, какие URL набирал пользователь
|
bt00007.txt
|
С точки зрения твика браузера – в этом списке могут быть всякие URL типа yаdex.ru, сбивающие пользователя с толку.
|
|
Удалить нестандартный заголовок Internet Explorer
|
bt00008.txt
|
Деструктив – обычно в заголовок выводится всякая нецензурщина, реже – реклама типа «Доступ в Интернет предоставлен компанией Рога и Копыта»
|
|
Internet Explorer - заблокирована возможность закрытия окна
|
bt00009.txt
|
Деструктив или деятельной AdWare – невозможность закрыть окно приводит к тому, что пользователь вынужден смотреть его содержимое до перезагрузки
|
|
Internet Explorer - заблокированы кнопки навигации
|
bt00010.txt
|
Деструктив
|
|
Internet Explorer - заблокировано контекстное меню
|
bt00011.txt
|
Деструктив
|
|
Internet Explorer - заблокирован доступ к настройкам браузера
|
bt00012.txt
|
Деструктив
|
|
Internet Explorer - отключить кеширование данных, полученных по защищенному каналу
|
bt00013.txt
|
Безопасность. По умолчанию данные, полученные по зашифрованному соединению, кешируются – это делает возможных их утечку, особенно на публичном ПК
|
|
Internet Explorer - отключить отправку отчетов об ошибках
|
bt00014.txt
|
Низкоприоритетный твик – запрещает посылать в MS отчеты об ошибках
|
|
Internet Explorer - заблокирована настройка домашней страницы
|
bt00015.txt
|
Деструктив, обычно совместно с подменой стартовой страницы
|
|
Internet Explorer - удалить Cookies
|
bt00016.txt
|
Чистит кукизы текущего пользователя
|
|
Internet Explorer - заблокированы настройки
|
bt00017.txt
|
|
|
Internet Explorer - очистить список доверенных доменов
|
bt00018.txt
|
Зловреды нередко прописывают туда свои сайты
|
|
Internet Explorer - очистить список исключений блокиратора Pop-Up окон
|
bt00019.txt
|
Зловред может вмести в список исключений ложные записи – есть ITW примеры
|
|
Internet Explorer - включить автоматическую очистку кеша при завершении работы
|
bt00020.txt
|
Кеш может содержать конфиденциальные данные, его изучение дает возможность узнать, какие ресурсы посещал пользователь. Ряд Троянов так добывают email адреса – сканируют весь диск, включая Кеш
|
|
Проводник - включить отображение расширений для файлов известных системе типов
|
bt00021.txt
|
Маскировка расширений часто применяется сетевыми червями
|
|
Internet Explorer - заблокирована возможность выбора каталога для сохранения файлов
|
bt00022.txt
|
Деятельность зловредов
|
|
Internet Explorer - заблокирован просмотр HTML кода страницы
|
bt00023.txt
|
Деятельность зловредов
|
|
Internet Explorer - очистить стартовую страницу
|
bt00024.txt
|
Сброс стартовой страницы, подмененной зловредом
|
|
Internet Explorer - отключено отображение адресной панели
|
bt00025.txt
|
Деятельность зловредов
|
|
PrivacyTweaker
|
Очистить историю набранных URL в Internet Explorer
|
prt00001.txt
|
Приватность – данный список незашифрован и доступен любому пользователю
|
|
Очистить журнал браузера
|
prt00002.txt
|
Журнал браузера хранит адреса посещенных страниц и его изучение позволяет установить, какие ресурсы посещал пользователь.
|
Некоторые пользователи применяют журнал в своей работе
|
Очистить кеш системы Prefetch
|
prt00003.txt
|
Не опасен, но позволяет узнать, какие программы запускал пользователь
|
|
Очистить MUICache
|
prt00001.txt
|
Аналогично Prefetch
|
|
Очистить историю поиска (файлы, папки, документы)
|
prt00005.txt
|
История поиска позволяет узнать, что искали на данном ПК
|
|
Очистить историю поиска (изображения и музыка)
|
prt00006.txt
|
История поиска позволяет узнать, что искали на данном ПК
|
|
Очистить историю поиска (компьютеры в сети)
|
prt00007.txt
|
История поиска позволяет узнать, что искали на данном ПК
|
|
Включить очистку файла подкачки в ходе перезагрузки
|
prt00008.txt
|
Файл подкачки содержит обычно всякий мусор, но в теории может содержать конфиденциальные данные
|
|
Internet Explorer - включить автоматическую очистку кеша при завершении работы
|
prt00009.txt
|
Изучение Кеша позволяет узнать, какие ресурсы посещал пользователь, и что он смотрел и искал
|
|
MediaPlayer - отключить передачу запросов на загрузку кодеков
|
prt000010.txt
|
Не опасно, но многие боятся, когда ПК сам лезет на сайт MS и что-то там передает
|
|
Включить очистку списка последних открытых документов при выходе
|
prt000011.txt
|
Способствует повышению приватности, так как делает невозможным изучение списка последних документов, с которыми велась работа
|
|
Internet Explorer - удалить Cookies
|
prt000012.txt
|
Cookies хранятся в незашифрованном виде, их изучение позволяет установить, какие сайты посещал пользователь и в ряде случае получить некие приватные данных
|
В кукизах часто хранятся хеши паролей и прочие данные и настройки – удаление кукизов уничтожит все настройки, сохраненные сайтами
|
Очистить список доверенных доменов IE
|
prt000013.txt
|
Многие зловреды записывают некие сайты в данный список
|
Пользователь может поместить сайт в этот список вручную, что нередко и делается по тем или иным соображениям
|
Удалить файлы журналов Windows
|
prt00014.txt
|
Изучение журналов позволяет получить некоторые сведения о работе пользователя и программ
|
В журналах обычно находится всякий мусор, ничего ценного там нет, на работу системы их наличие/отсутствие не влияет
|
Удалить файлы дампов памяти
|
prt00015.txt
|
Дампы памяти важны для поиска причин сбоев системы, но в них может содержаться непредсказуемая (в т.ч. и конфиденциальная) информация
|
Удаление дампов не влияет на работу системы
|
Очистить список Недавние документы
|
prt00016.txt
|
Анализ данного списка позволяет узнать, какие документы недавно открывались на ПК
|
Некоторые пользователи активно работают с данным списком
|
Очистить историю команд, выполненных через Пуск/Выполнить
|
prt00017.txt
|
Часто команды небезопасны, т.к. содержать параметры. Например, команда net use может содержать логин и пароль
|
|
Очистить историю подключения сетевых дисков
|
prt00018.txt
|
Данные о подключении сетевых дисков могут использоваться Троянами или злоумышленником
|
|
Очистить кеш с описаниями компьютеров в сети
|
prt00019.txt
|
Опасно – позволяет Трояну узнать данные о соседних ПК без обзора или сканирования сети
|
|
Очистить историю файлов радактора Paint
|
prt00020.txt
|
Не опасно, но тем не менее разные твикеры такое чистят
|
|
Очистить список Избранное редактора реестра
|
prt00021.txt
|
Не опасно, но тем не менее разные твикеры такое чистят
|
|
Очистить список папок, использованных в диалогах открытия и сохранения файлов
|
prt00022.txt
|
Хранит каталоги, в которые велось сохранение или откуда выполнялось открытие докуметов и файлов. Может применяться трояном или злоумышленником
|
|
Очистить списки файлов, использованных в диалогах открытия и сохранения
|
prt00023.txt
|
В данном ключе обычно страшная помойка – информация о сотнях открытых или сохраненных когда-либо файлах, может применяться деструктивным трояном для быстрого уничтожения всех документов, которые когда либо открывал или создавал пользователь
|
После чистки в диалогах открытия и сохранения пропадает подстановка в поле ввода имени файла – она выполняется на основании истории
|
|
|
|
|
Кеш браузера. В кеше браузер сохраняет копии открываемых страниц и загружаемых файлов. Изучение кеша позволяет установить, какие сайты посещал пользователь. В ряде случаев страницы содержат конфиденциальные данные
|
+
|
|
Повышение Инет-трафика из-за снижения эффективности кеша
|
Очистка данных автозаполнения в IE. Имеют смысл только при включенном автозаполнении, соответственно в этом случае злоумышленник может получить доступ к в базе автозаполнения данным – там могут содержаться номера кредитных карт, пароли и т.п.
|
+/-
|
|
|
Очистка сохраненных IE паролей. Имеет смысл только при включенном сохранении паролей, соответственно в этом случае злоумышленник может получить доступ к сохраненным паролям и украсть их
|
+/-
|
|
|
Прочие твики – не реализовано, готовится к реализации
|
Отключение автозаполнения форм в IE. При включенном автозаполнении IE может сохранить пароли, что позволит злоумышленнику украсть их или войти на некий сайт без авторизации
|
+
|
|
Неудобно для пользователя – многие используют автозаполнение
|
Блокировка анонимного доступа к ПК по сети. Повышает безопасность ПК в сети
|
+
|
|
Возможны проблемы с доступом в ЛВС
|
Маскировка ПК в сети. Компьютер не отображается в сетевом окружении, что затрудняет его обнаружение злоумышленниками
|
+
|
|
|
Отключение административных ресурсов. Отключается автоматическое открытие доступа к дискам в виде шар C$, D$ …
|
+
|
|
Конфликт с сисадмином
|
Отключение создания хешей паролей LAN Manager. Хеши этих паролей малоустойчивы к взлому
|
+
|
|
Теряется совместимость с Win9x
|
Отключение пользователя «техподдержка». Данная учетная запись может применяться для скрытного доступа на ПК, но вероятность этого невелика
|
-
|
|
Конфликт ЛК с Microsoft
|
Отключение автоматического входа в систему. Исключает доступ посторонних лиц к ПК без применения специализированных средств
|
+
|
|
Многие пользователи не подозревают, что у них есть пароль – включение запроса пароля приведет к том, что они не смогут войти в систему
|
Включение отображения расширений для файлов известных системе типов. Позволяет пользователю своевременно заметить различные хакерские уловки типа исполняемого файла с иконкой, идентичной иконке папки или файла с двойным расширением
|
+
|
|
|
Отключение Windows Script Host. Отключение приводит к невозможности запуска скриптов типа VBS и JS, что дает некоторую защиту от ряда вредоносных программ.
|
+
|
|
Блокируется запуск админ-скриптов, что может привести к ряду проблем
|
Отключение автозапуска с CDROM, что дает защиту от червей, распространяющихся на Flash дисках и применяющих автозапуск для своего скрытного запуска
|
+
|
|
Блокируется автозапуск
|
