Твик
| Реализуемость скриптом AVZ
| Причины возникновения проблемы
| Последствия
|
Troubleshutting Wizard
|
Нарушение ассоциации EXE файлов
| tsw00001.txt
| Автозапуск зловредов
|
|
Нарушение ассоциации COM файлов
| tsw00002.txt
| Автозапуск зловредов
|
|
Нарушение ассоциации PIF файлов
| tsw00003.txt
| Автозапуск зловредов
|
|
Нарушение ассоциации BAT файлов
| tsw00004.txt
| Автозапуск зловредов
|
|
Нарушение ассоциации LNK файлов
| tsw00005.txt
| Автозапуск зловредов
|
|
Нарушение ассоциации SCR файлов
| tsw00006.txt
| Автозапуск зловредов
|
|
Нарушение ассоциации REG файлов
| tsw00007.txt
| Автозапуск зловредов, блокировка импорта REG файлов для затруднения лечения
|
|
Блокировка редактора реестра
| tsw00008.txt
| Затруднение борьбы с зловредом
|
|
Блокировка диспетчера задач
| tsw00009.txt
| Затруднение борьбы с зловредом
|
|
Подмена диспетчера задач
| tsw00010.txt
| Затруднение борьбы с зловредом, экзотическая форма автозапуска. Может применяться легитимными менеджерами
| Возможно, подмена сделана альтернативным диспетчером задач. С другой стороны, заменяя реакции на Ctrl+Alt+Del – это недопустимая вещь
|
Блокировка панели управления
| tsw00011.txt
| Проявления зловредов, нацеленных на блокировку работы на ПК
|
|
Ограничение отображения дисков в проводнике
| tsw00012.txt
| Проявления зловредов, нацеленных на блокировку работы на ПК. Визуально приводит к пропаданию дисков и невозможности работы с ними
|
|
Включено сокрытие всех элементов на рабочем столе
| tsw00013.txt
| Проявления зловредов, нацеленных на блокировку работы на ПК.
|
|
Модификация ключа запуска проводника
| tsw00014.txt
| Экзотический автозапуск
|
|
Модифицированы префиксы протоколов
| tsw00015.txt
| Деятельность зловредов для редиректа на рекламируемые сайты
|
|
Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
| tsw00016.txt
| Подобную перенастройку делают зловредные скрипты и разные порноскопы
|
|
Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
| tsw00017.txt
| Подобную перенастройку делают зловредные скрипты и разные порноскопы
|
|
Internet Explorer - загрузка неподписанных элементов ActiveX
| tsw00018.txt
| Опасная «дыра» - при наличие такой установки может скрытно загрузиться что угодно
|
|
Internet Explorer - автоматические запросы элементов управления ActiveX
| tsw00019.txt
|
|
|
Internet Explorer – запуск программ и файлов в окне IFRAME
| tsw00020.txt
|
|
|
Проводник - заблокирована возможность закрытия окон проводника
| tsw00021.txt
| Деятельность деструктивных троянов
|
|
Проводник - заблокирован доступ к сетевому окружению
| tsw00022.txt
| Деятельность деструктивных троянов, отключающих доступ к сетевому окружению
|
|
Заблокирована возможность завершения сеанса
| tsw00023.txt
| Визуальное проявление – нет опции LogOff в меню завершения работы. Применяется деструктуивными троянами
|
|
Мой компьютер - заблокирован пункт меню Управление
| tsw00024.txt
| Деятельность Троянов – блокировка меню «Управление» блокирует доступ к работе с пользователями, службами и т.п.
|
|
Задано сообщение, выводимое в ходе загрузки
| tsw00025.txt
| Не очень опасно, но раздражает. Применяется деструктивными Троянами, Hoax и т.п. – это сообщение выводится в ходе перезагрузки, обычно там сообщение о заражении ПК или текст с требованием выкупа
|
|
Отключено контекстное меню панели задач
| tsw00026.txt
| Деструктивные трояны, бестолковое применение твикеров
|
|
Отключено контекстное меню кнопки Пуск
| tsw00027.txt
| Деструктивные Трояны
|
|
Заблокировано меню Пуск\Поиск
| tsw00028.txt
| Деструктивные трояны, студенческие шутки
|
|
Пуск\Выполнить
| tsw00029.txt
| Самозащита троянов – за счет этой блокировки затрудняется лечение ПК
|
|
Заблокировано изменение свойств экрана
| tsw00030.txt
| Обычно идет в совокупности с изменением обоев или перенастройкой свойств экрана, часто применяется деструктивными Троянами и Hoax
|
|
Отключено отображение значков в трее
| tsw00031.txt
| Деструктивные Трояны
|
|
Обнаружен отладчик системного процесса
| tsw00032.txt
| Методика блокировки запуска системных утилит и скрытый метод запуска троянов
|
|
Заблокирована закладка Рабочий стол в окне свойств экрана
| tsw00033.txt
| Деструктивные Трояны,
|
|
Заблокирована закладка Заставка в окне свойств экрана
| tsw00034.txt
| Деструктивные Трояны,
|
|
Заблокирована закладка Параметры в окне свойств экрана
| tsw00035.txt
| Деструктивные Трояны,
|
|
Заблокирована закладка Оформление в окне свойств экрана
| tsw00036.txt
| Деструктивные Трояны,
|
|
Установлена большая задержка перед открытием меню (более секунды)
| tsw00037.txt
| Деструктив – меню будет открываться полчаса, с точки зрения пользователя это равносильно глобальной блокировке системных меню
|
|
Internet Explorer - заблокирована настройка домашней страницы
| tsw00038.txt
| Часто применяется в совокупности с подменой стартовой страницы, блокирует ее восстановление
|
|
Заблокированы настройки системы Windows Update
| tsw00039.txt
| Деструктивные Трояны
|
|
Заблокированы настройки системы System Restore
| tsw00040.txt
| Деструктивные Трояны
|
|
Заблокирована возможность подключения и отключения сетевых дисков
| tsw00041.txt
| Деструктивные трояны
|
|
Internet Explorer - заблокированы настройки
| tsw00042.txt
| Блокировок у него с полсотни, поэтому они все собраны в один скрипт проверки. Часто применяется троянами
|
|
Заблокировано отображение вложенных папок в меню Пуск
| tsw00043.txt
| Деструктивные Трояны
|
|
Заблокирован доступ к настройкам принтеров
| tsw00044.txt
| Деструктивные Трояны
|
|
Заблокирован доступ к настройкам сети
| tsw00045.txt
| Деструктивные Трояны
|
|
Заблокирована настройка автоматического обновления
| tsw00046.txt
| Деструктивные Трояны
|
|
Меню Пуск - заблокированы элементы
| tsw00047.txt
| Блокировок много, поэтому они все собраны в один скрипт проверки. Часто применяется Троянами
|
|
Заблокировано отображение принтеров
| tsw00048.txt
| Деструктивные Трояны
|
|
Отключить режим ограниченного запуска программ
| tsw00049.txt
| Деструктивные Трояны
|
|
Таймаут завершения процессов находится за пределами допустимых значений
| tsw00050.txt
| В основном деятельность разных твикеров. Вместо положенных 20 секунд они ставят 0.5-3 сек, что ускоряет завершение работы, но приводит к аварийному закрытию приложений и массе проблем (незакрытые файлы, частичное сохранение настроек, повреждение почтовых баз и т.п.)
| Восстанавливает системную настройку в 20 секунд
|
Таймаут завершения служб находится за пределами допустимых значений
| tsw00051.txt
| В основном деятельность разных твикеров. Вместо положенных 20 секунд они ставят 0.5-3 сек, что ускоряет завершение работы, но приводит к аварийному закрытию приложений и массе проблем (в случае служб это особенно влияет на базы данных и WEB сервера, запускаемые в виде служб)
| Восстанавливает системную настройку в 20 секунд
|
Заблокирован интерфейс командной строки (cmd.exe)
| tsw00052.txt
| Недоступен интерфейс cmd.exe, часто применяется зловредами для самозащиты
|
|
Рабочий стол - заблокировано отображение иконки Мой компьютер
| tsw00053.txt
| Твикеры, зловреды
|
|
Проводник - заблокирован доступ к свойствам папки
| tsw00054.txt
| Новые ITW зловреды блокируют это функцию (подобный семпл пойман 6.11.2007 в VirusInfo)
|
|
Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
| tsw00055.txt
| В основном деятельность разных твикеров. Вместо положенных 5 секунд они ставят 0.05-1 сек, в результате приложения могут ошибочно признаваться системой как зависшие, а в совокупности с некорректным таймаутом завершения будет убиваться
| Восстанавливает системную настройку в 5 секунд
|
Заблокирован доступ к свойствам панели задач и меню Пуск
| tsw00056.txt
| Деятельность зловредов
|
|
Заблокирован пункт меню Справка и техподдержка
| tsw00057.txt
| Деятельность зловредов
|
|
BrowserTweaker
|
Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
| bt00001.txt
| Подобную перенастройку делают зловредные скрипты и разные порноскопы
|
|
Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
| bt00002.txt
| Подобную перенастройку делают зловредные скрипты и разные порноскопы
| Эффективность кеша падает, следовательно увеличится трафик Инет
|
Internet Explorer - загрузка неподписанных элементов ActiveX
| bt00003.txt
| Опасная «дыра» - при наличие такой установки может скрытно загрузиться что угодно
| В отличие от предыдущего не влияет на быстродействие
|
Internet Explorer - автоматические запросы элементов управления ActiveX
| bt00004.txt
|
|
|
Internet Explorer - запуск программ и файлов в окне IFRAME
| bt00005.txt
|
|
|
Модифицированы префиксы протоколов
| bt00006.txt
| Деятельность зловредов для редиректа на рекламируемые сайты
|
|
Очистка истории набранных URL в Internet Explorer. История позволяет установить, какие URL набирал пользователь
| bt00007.txt
| С точки зрения твика браузера – в этом списке могут быть всякие URL типа yаdex.ru, сбивающие пользователя с толку.
|
|
Удалить нестандартный заголовок Internet Explorer
| bt00008.txt
| Деструктив – обычно в заголовок выводится всякая нецензурщина, реже – реклама типа «Доступ в Интернет предоставлен компанией Рога и Копыта»
|
|
Internet Explorer - заблокирована возможность закрытия окна
| bt00009.txt
| Деструктив или деятельной AdWare – невозможность закрыть окно приводит к тому, что пользователь вынужден смотреть его содержимое до перезагрузки
|
|
Internet Explorer - заблокированы кнопки навигации
| bt00010.txt
| Деструктив
|
|
Internet Explorer - заблокировано контекстное меню
| bt00011.txt
| Деструктив
|
|
Internet Explorer - заблокирован доступ к настройкам браузера
| bt00012.txt
| Деструктив
|
|
Internet Explorer - отключить кеширование данных, полученных по защищенному каналу
| bt00013.txt
| Безопасность. По умолчанию данные, полученные по зашифрованному соединению, кешируются – это делает возможных их утечку, особенно на публичном ПК
|
|
Internet Explorer - отключить отправку отчетов об ошибках
| bt00014.txt
| Низкоприоритетный твик – запрещает посылать в MS отчеты об ошибках
|
|
Internet Explorer - заблокирована настройка домашней страницы
| bt00015.txt
| Деструктив, обычно совместно с подменой стартовой страницы
|
|
Internet Explorer - удалить Cookies
| bt00016.txt
| Чистит кукизы текущего пользователя
|
|
Internet Explorer - заблокированы настройки
| bt00017.txt
|
|
|
Internet Explorer - очистить список доверенных доменов
| bt00018.txt
| Зловреды нередко прописывают туда свои сайты
|
|
Internet Explorer - очистить список исключений блокиратора Pop-Up окон
| bt00019.txt
| Зловред может вмести в список исключений ложные записи – есть ITW примеры
|
|
Internet Explorer - включить автоматическую очистку кеша при завершении работы
| bt00020.txt
| Кеш может содержать конфиденциальные данные, его изучение дает возможность узнать, какие ресурсы посещал пользователь. Ряд Троянов так добывают email адреса – сканируют весь диск, включая Кеш
|
|
Проводник - включить отображение расширений для файлов известных системе типов
| bt00021.txt
| Маскировка расширений часто применяется сетевыми червями
|
|
Internet Explorer - заблокирована возможность выбора каталога для сохранения файлов
| bt00022.txt
| Деятельность зловредов
|
|
Internet Explorer - заблокирован просмотр HTML кода страницы
| bt00023.txt
| Деятельность зловредов
|
|
Internet Explorer - очистить стартовую страницу
| bt00024.txt
| Сброс стартовой страницы, подмененной зловредом
|
|
Internet Explorer - отключено отображение адресной панели
| bt00025.txt
| Деятельность зловредов
|
|
PrivacyTweaker
|
Очистить историю набранных URL в Internet Explorer
| prt00001.txt
| Приватность – данный список незашифрован и доступен любому пользователю
|
|
Очистить журнал браузера
| prt00002.txt
| Журнал браузера хранит адреса посещенных страниц и его изучение позволяет установить, какие ресурсы посещал пользователь.
| Некоторые пользователи применяют журнал в своей работе
|
Очистить кеш системы Prefetch
| prt00003.txt
| Не опасен, но позволяет узнать, какие программы запускал пользователь
|
|
Очистить MUICache
| prt00001.txt
| Аналогично Prefetch
|
|
Очистить историю поиска (файлы, папки, документы)
| prt00005.txt
| История поиска позволяет узнать, что искали на данном ПК
|
|
Очистить историю поиска (изображения и музыка)
| prt00006.txt
| История поиска позволяет узнать, что искали на данном ПК
|
|
Очистить историю поиска (компьютеры в сети)
| prt00007.txt
| История поиска позволяет узнать, что искали на данном ПК
|
|
Включить очистку файла подкачки в ходе перезагрузки
| prt00008.txt
| Файл подкачки содержит обычно всякий мусор, но в теории может содержать конфиденциальные данные
|
|
Internet Explorer - включить автоматическую очистку кеша при завершении работы
| prt00009.txt
| Изучение Кеша позволяет узнать, какие ресурсы посещал пользователь, и что он смотрел и искал
|
|
MediaPlayer - отключить передачу запросов на загрузку кодеков
| prt000010.txt
| Не опасно, но многие боятся, когда ПК сам лезет на сайт MS и что-то там передает
|
|
Включить очистку списка последних открытых документов при выходе
| prt000011.txt
| Способствует повышению приватности, так как делает невозможным изучение списка последних документов, с которыми велась работа
|
|
Internet Explorer - удалить Cookies
| prt000012.txt
| Cookies хранятся в незашифрованном виде, их изучение позволяет установить, какие сайты посещал пользователь и в ряде случае получить некие приватные данных
| В кукизах часто хранятся хеши паролей и прочие данные и настройки – удаление кукизов уничтожит все настройки, сохраненные сайтами
|
Очистить список доверенных доменов IE
| prt000013.txt
| Многие зловреды записывают некие сайты в данный список
| Пользователь может поместить сайт в этот список вручную, что нередко и делается по тем или иным соображениям
|
Удалить файлы журналов Windows
| prt00014.txt
| Изучение журналов позволяет получить некоторые сведения о работе пользователя и программ
| В журналах обычно находится всякий мусор, ничего ценного там нет, на работу системы их наличие/отсутствие не влияет
|
Удалить файлы дампов памяти
| prt00015.txt
| Дампы памяти важны для поиска причин сбоев системы, но в них может содержаться непредсказуемая (в т.ч. и конфиденциальная) информация
| Удаление дампов не влияет на работу системы
|
Очистить список Недавние документы
| prt00016.txt
| Анализ данного списка позволяет узнать, какие документы недавно открывались на ПК
| Некоторые пользователи активно работают с данным списком
|
Очистить историю команд, выполненных через Пуск/Выполнить
| prt00017.txt
| Часто команды небезопасны, т.к. содержать параметры. Например, команда net use может содержать логин и пароль
|
|
Очистить историю подключения сетевых дисков
| prt00018.txt
| Данные о подключении сетевых дисков могут использоваться Троянами или злоумышленником
|
|
Очистить кеш с описаниями компьютеров в сети
| prt00019.txt
| Опасно – позволяет Трояну узнать данные о соседних ПК без обзора или сканирования сети
|
|
Очистить историю файлов радактора Paint
| prt00020.txt
| Не опасно, но тем не менее разные твикеры такое чистят
|
|
Очистить список Избранное редактора реестра
| prt00021.txt
| Не опасно, но тем не менее разные твикеры такое чистят
|
|
Очистить список папок, использованных в диалогах открытия и сохранения файлов
| prt00022.txt
| Хранит каталоги, в которые велось сохранение или откуда выполнялось открытие докуметов и файлов. Может применяться трояном или злоумышленником
|
|
Очистить списки файлов, использованных в диалогах открытия и сохранения
| prt00023.txt
| В данном ключе обычно страшная помойка – информация о сотнях открытых или сохраненных когда-либо файлах, может применяться деструктивным трояном для быстрого уничтожения всех документов, которые когда либо открывал или создавал пользователь
| После чистки в диалогах открытия и сохранения пропадает подстановка в поле ввода имени файла – она выполняется на основании истории
|
|
|
|
|
Кеш браузера. В кеше браузер сохраняет копии открываемых страниц и загружаемых файлов. Изучение кеша позволяет установить, какие сайты посещал пользователь. В ряде случаев страницы содержат конфиденциальные данные
| +
|
| Повышение Инет-трафика из-за снижения эффективности кеша
|
Очистка данных автозаполнения в IE. Имеют смысл только при включенном автозаполнении, соответственно в этом случае злоумышленник может получить доступ к в базе автозаполнения данным – там могут содержаться номера кредитных карт, пароли и т.п.
| +/-
|
|
|
Очистка сохраненных IE паролей. Имеет смысл только при включенном сохранении паролей, соответственно в этом случае злоумышленник может получить доступ к сохраненным паролям и украсть их
| +/-
|
|
|
Прочие твики – не реализовано, готовится к реализации
|
Отключение автозаполнения форм в IE. При включенном автозаполнении IE может сохранить пароли, что позволит злоумышленнику украсть их или войти на некий сайт без авторизации
| +
|
| Неудобно для пользователя – многие используют автозаполнение
|
Блокировка анонимного доступа к ПК по сети. Повышает безопасность ПК в сети
| +
|
| Возможны проблемы с доступом в ЛВС
|
Маскировка ПК в сети. Компьютер не отображается в сетевом окружении, что затрудняет его обнаружение злоумышленниками
| +
|
|
|
Отключение административных ресурсов. Отключается автоматическое открытие доступа к дискам в виде шар C$, D$ …
| +
|
| Конфликт с сисадмином
|
Отключение создания хешей паролей LAN Manager. Хеши этих паролей малоустойчивы к взлому
| +
|
| Теряется совместимость с Win9x
|
Отключение пользователя «техподдержка». Данная учетная запись может применяться для скрытного доступа на ПК, но вероятность этого невелика
| -
|
| Конфликт ЛК с Microsoft
|
Отключение автоматического входа в систему. Исключает доступ посторонних лиц к ПК без применения специализированных средств
| +
|
| Многие пользователи не подозревают, что у них есть пароль – включение запроса пароля приведет к том, что они не смогут войти в систему
|
Включение отображения расширений для файлов известных системе типов. Позволяет пользователю своевременно заметить различные хакерские уловки типа исполняемого файла с иконкой, идентичной иконке папки или файла с двойным расширением
| +
|
|
|
Отключение Windows Script Host. Отключение приводит к невозможности запуска скриптов типа VBS и JS, что дает некоторую защиту от ряда вредоносных программ.
| +
|
| Блокируется запуск админ-скриптов, что может привести к ряду проблем
|
Отключение автозапуска с CDROM, что дает защиту от червей, распространяющихся на Flash дисках и применяющих автозапуск для своего скрытного запуска
| +
|
| Блокируется автозапуск
|