どちらかというと夜型です

アクセスカウンタ

zoom RSS ウイルス関連レジストリ メモ自分用

<<   作成日時 : 2009/02/27 02:04   >>

なるほど(納得、参考になった、ヘー) ブログ気持玉 2 / トラックバック 0 / コメント 0

ウィルスが改ざんするレジストリのメモ。時々追加。


■自動起動、スタートアップ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
ウイルスの実行ファイル名、パス

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon
(変更前):
Shell = "Explorer.exe"
(変更後):
Shell = "Explorer.exe %windir%\drivers\btwdins.exe"
Userinit = "%windir%\userinit.exe"
(変更後):
Userinit = "ウイルスの実行ファイル"

■DLL インジェクション
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs
[HKLMの「AppInit_DLLs」キーの削除]
http://www.higaitaisaku.com/appinitdlls.html

■DCOMプロトコルを無効
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
(変更前):
EnableDCOM = "Y"
(変更後):
EnableDCOM = "N"

■影響のあるシステムへの匿名のアクセスを制限。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
(変更前)
restrictanonymous = "0"
(変更後)

■Windowsファイル保護機能を無効。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
SFCScan = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
(変更前)SFCDisable = "0"
(変更後)SFCDisable = "ffffff9d"

■Windows自動更新を無効

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
WindowsUpdate\Auto Update
(変更前):
AUOptions = "4"
(変更後):
AUOptions = "1"

■セキュリティセンター機能を無効

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
(変更前):
・AntiVirusDisableNotify = "0"
・AntiVirusOverride = "0"
・FirewallDisableNotify = "0"
・FirewallOverride = "0"
・UpdatesDisableNotify = "0"
(変更後):
・AntiVirusDisableNotify = "1"
・AntiVirusOverride = "1"
・FirewallDisableNotify = "1"
・FirewallOverride = "1"

■Windowsファイルウォール設定を無効

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
DomainProfile
(変更前):
EnableFirewall = "1"
(変更後):
EnableFirewall = "0"

■Service Pack 2 の自動更新を無効

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate
(変更前):
DoNotAllowXPSP2 = ""
(変更後):
DoNotAllowXPSP2 = "1"

■タスクマネージャを無効

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System

・DisableRegistryTools = "1"
・DisableTaskMgr = "1"

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\
CurrentVersion\Policies\System

DisableTaskMgr = "1"

■悪意のある削除ツール感染報告コンポーネント を無効にする

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

DontReportInfectionInformation = "1"
種類 :REG_DWORD

[企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開]
http://support.microsoft.com/kb/891716/ja

Q3 :結果がマイクロソフトに送信されないようにするために、ツールの感染報告コンポーネント (レポート コンポーネント) を無効にする方法を教えてください。

A3 :次のレジストリ値をコンピュータに追加することにより、管理者はツールの感染報告コンポーネントを無効にすることができます。このレジストリ値が設定されていると、感染情報がマイクロソフトに送信されません。
サブキー :HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
エントリ名 :\DontReportInfectionInformation
種類 :REG_DWORD
のデータ :1
次のレジストリ値が存在する場合、この機能は自動的に無効になります。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer
このレジストリ値は、コンピュータが SUS サーバーに接続していることを示します。

----ここまで引用。

ホームユーザーは有効でいいと思う。

■管理共有の無効
他のコンピュータからのコメントを非表示に
ドメインに参加してないならセキュリティ上は望ましいのかも?

クライアント向けWindows(NT Workstation、2000 Professional、XP Professional)
「AutoShareWks」
Server向けWindows(NT Server、2000 Server)
「AutoShareServer」

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
AutoShareServer = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
AutoShareWks = "0

■サービス ドライバの起動の種類を変更する
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\サービス名
Start いつサービスが読み込まれるかを指定
0 ブート 起動シーケンス中にブートローダー(NTLDRやOSLOADER)によって読み込まれる。
1 システム 読み込みシーケンス中のカーネル初期化時に読み込まれる。
2 自動:システム起動時に読み込まれるか起動される。
3 手動:ユーザーや別のプロセスによって起動される。
4 無効:起動されない。
ファイルシステムドライバは、Start値が適用されないドライバであり、Start値が4であっても読み込まれる。

 wuauserv:(Automatic Updates 自動更新のサービス)これを止めるのはよくあるけど、逆に感染していることがバレやすいかも。 
WinDefend:(Windows Defenderのサービス)最近のウィルスならこのサービスを無効にするだろう。Windows Defender自身がこれを感知できないのだろうか?

■セーフモードで起動できないようにする。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
この下にあるサービスやドライバはセーフモードでも読み込まれる。
キーを削除することで、セーフモードで起動できなくなる。

■セーフモードでも起動
逆に自身をサービスとして登録するウイルスならセーフモードでも起動することも。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

セーフモードとネットワーク
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

Windows Defender関連サービスが登録されている例
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinDefend
規定 文字列値 Service

■応答のないサービスがあった時の待ち時間を短くする。

シャットダウンのとき、応答のないサービスがあった時の待ち時間(この待ち時間が終了すると、当該サービスは強制終了される)を短く設定

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
(変更前):
WaitToKillServiceTimeout = "20000"
(変更後):
WaitToKillServiceTimeout = "7000"
(20000=20秒 単位はミリ秒)

http://heppoko.jpn.ph/?m=200808

■OS起動時にサービスが起動するまでの時間を調整する
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
ServicesPipeTimeout
DWORD
60000
を作成すると制限時間を60秒に延長することができます。

OS起動時に、サービスを自動的に起動することができますが、起動開始からデフォルトで30秒以内に起動完了しないと、起動失敗と見なされてしまいます。サービスの起動に時間がかかると失敗することがあります。

■フォルダオプション使用不可
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoFolderOptions = "dword:00000001"

■Windows Updateを邪魔しそう
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer

UpdateHost = "<ランダムなバイナリ値>"

■ Windows ファイアウォールへ登録
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List


メーカ性PCは最初から登録されててちょっと嫌。

■ 「ファイル名を指定して実行」で起動するアプリのパスの改ざん
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE
「pbrush」でペイントを起動できるのは素。
 自分で適当に編集してランチャーにするもよし。

■メモ帳の設定右端で折り返すかどうか。
HKEY_CURRENT_USER\Software\Microsoft\notepad
fwrap = "0"
どっちだっていいのに レジストリを変えるウイルスがあるのはなぜ?↓

[VBS_AUTORUN.HAI - 詳 細]
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_AUTORUN.HAI&VSect=T

■隠しファイル、システムファイルを検索しない
検索のオプションからも設定できるけど
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
・SearchHidden = "0"
・SearchSystemDirs = "0"
サブフォルダを検索しない
IncludeSubFolders 0

■スタートメニューの設定
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

・Hidden = "1"
・HideFileExt = "1"
・SearchHidden = "0" 検索を表示しない
・SearchSystemDirs = "0"
・ShowSuperHidden = "0"
・Start_ShowControlPanel = "0" コントロールパネルを表示しない
・StartMenuAdmindTools = "0" 管理ツールを表示しない
・SuperHidden = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

・Disabled = "1"
・noAdminpage = "1"
・NoDiscCPL = "1"
・NoRealMode = "1"
・system = "1"
・WinOldApp = "0"



■タスクマネージャ禁止
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\
DisableTaskMgr =1
■レジストリエディタ禁止
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\
DisableRegistryTools=1
■フォルダオプション禁止
nofolderoptions=1

■レジストリエディタ、タスクマネージャ禁止解除VBS

RESTORE.VBS by trendmicro

On Error Resume Next
Set shl = CreateObject("WScript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")
shl.RegDelete "HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies\System\
DisableRegistryTools"
shl.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System\DisableTaskMgr"
shl.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\policies\system\DisableRegistryTools"
shl.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\policies\system\DisableTaskMgr"

■システムの復元無効
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\systemrestore
DisableSR=1

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = "1"
DisableSR = "1"

復元のサービスを無効にする
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr
(変更前):
Start = "4"
(変更後):
Start = "0"

■壁紙変更無効
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallpaper = "1"

■デスクトップの壁紙やスクリーンセーバのパス
HKEY_CURRENT_USER\Control Panel\Desktop
ConvertedWallpaper
OriginalWallpaper
Wallpaper
ScreenSaveActive

■隠しファイル非表示

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
(変更前):
Hidden = "dword:00000001"
ShowSuperHidden = "dword:00000001"
(変更後):
Hidden = "dword:00000000"
ShowSuperHidden = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL
(変更前):
CheckedValue = "dword:00000001"
(変更後):
CheckedValue = "dword:00000000"

フォルダオプションで変更しても有効にならない。

■関連付けの変更

HKEY_CLASSES_ROOT\exefile\shell\open\command
@ ""%1" %*" "ウイルスのファイル名.exe "%1" %*"

HKEY_CLASSES_ROOT\regfile\shell\open\command
@ "regedit.exe "%1"" "ウイルスのファイル名.exe showerror"

HKEY_CLASSES_ROOT\scrfile\shell\open\command
@ ""%1" /S" "ウイルスのファイル名.exe "%1" /S"

HKEY_CLASSES_ROOT\scrfile\shell\config\command
@ ""%1"" "ウイルスのファイル名.exe "%1""

HKEY_CLASSES_ROOT\comfile\shell\open\command
@ ""%1" %*" "ウイルスのファイル名.exe "%1" %*"

HKEY_CLASSES_ROOT\batfile\shell\open\command
@ ""%1" %*" "ウイルスのファイル名.exe "%1" %*"

HKEY_CLASSES_ROOT\piffile\shell\open\command
@ ""%1" %*" "ウイルスのファイル名.exe "%1" %*"

■スクリプトを無効にするならテキストにファイルにするとか
HKEY_CLASSES_ROOT\.bat
(変更前):
(既定) = "batfile"
(変更後):
(既定) = "txtfile"

HKEY_CLASSES_ROOT\.com
(変更前):
(既定) = "comfile"
(変更後):
(既定) = "txtfile"

HKEY_CLASSES_ROOT\.vbs
(変更前):
(既定) = "VBSfile"
(変更後):
(既定) = "txtfile"

■FixSwen.infで修正。
infファイルを右クリック→インストール

----- FixSwen.inf -----
[Version]
Signature="$CHICAGO$"

[DefaultInstall]
AddReg=FixSwen
DelReg=EnableRegTools

[FixSwen]
HKCR, "batfile\shell\open\command",,0,"""%1"" %*"
HKCR, "comfile\shell\open\command",,0,"""%1"" %*"
HKCR, "exefile\shell\open\command",,0,"""%1"" %*"
HKCR, "piffile\shell\open\command",,0,"""%1"" %*"
HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1""
HKCR, "scrfile\shell\open\command",,0,"""%1"" %*"
HKCR, "scrfile\shell\config\command",,0,"""%1"" %*"

[EnableRegTools]
HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools"
---------------
参考↓
[IT Portal]
http://ipl001.free.fr/IT/IT-AV01.html

■拡張子を表示しない

HKEY_CLASSES_ROOT\comfile
NeverShowExt = "dword:00000001"

HKEY_CLASSES_ROOT\exefile
NeverShowExt = "dword:00000001"

「NeverShowExt」はlnkファイルには元々ついてる。

───
グループポリシーはまとめた方がいいかも

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 2
なるほど(納得、参考になった、ヘー)
かわいい

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
ウイルス関連レジストリ メモ自分用 どちらかというと夜型です/BIGLOBEウェブリブログ
文字サイズ:       閉じる