6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)

В этой таблице представлены модули, обеспечивающие расширение функционала Internet Explorer – Browser Helper Objects и Toolbars. В их списке можно увидеть:

- имя и адрес файла

- тип расширения

- описание

- производителя (копирайт)

- идентификационный код CLSID

Образец строки из протокола:

Зачем эта таблица?

Регистрация компонента в качестве Browser Helper Object или панели инструментов позволяет ему внедряться в процесс Internet Explorer на правах расширения функционала и влиять на его поведение. Не секрет, что многие брандмауэры для удобства неопытных пользователей предлагают специальные наборы правил для распространенных приложений, и для Internet Explorer в том числе; обычно такие правила автоматически разрешают браузеру посещать любые IP-адреса по порту 53, 80 и некоторым другим. Если брандмауэр не фиксирует изменение состава модулей, загруженных в процесс Internet Explorer, то вредоносный BHO не испытает никаких затруднений при отправке и получении любых данных «от имени» IE. Известны, к примеру, случаи, когда BHO следит за посещаемыми ресурсами, при использовании веб-интерфейсов платежных систем включает логирование вводимой информации и отправляет данные для авторизации злоумышленнику.

7) Модули расширения проводника (данные Менеджера расширений проводника)

Таблица отображает элементы, зарегистрированные в качестве расширений функционала Проводника Windows. Для объектов можно просмотреть

- имя и адрес файла

- назначение расширения

- описание

- производителя (копирайт)

- идентификационный код CLSID

Образец строки из протокола:

Зачем эта таблица?

Обеспечивая графический интерфейс Windows, Проводник является одним из постоянно запущенных процессов при работе с системой. Вместе с ним, естественно, работают загруженные в него модули, которые, как и в случае его родственника Internet Explorer, сравнительно легко регистрируются в качестве средств расширения функционала (к примеру, специализированных элементов контекстного меню). В силу указанных выше причин регистрация расширения Проводника фактически является еще одним методом автозапуска, способным обеспечить постоянную и практически незаметную работу вредоносной библиотеки.

8) Модули расширения системы печати (данные Менеджера расширений системы печати)

В этой части протокола отображаются элементы, зарегистрированные в качестве мониторов или провайдеров печати. Таблица включает колонки:

- имя и адрес файла

- тип расширения

- наименование

- описание

- производитель (копирайт)

Образец строки из протокола:

Зачем эта таблица?

Регистрация монитора или провайдера печати - еще один метод автозапуска. В этом случае библиотека загружается диспетчером подсистемы печати – spoolsv.exe. Служба Spooler SubSystem Application необходима на любом компьютере, где используется реальная или виртуальная печать, поэтому расширение системы печати практически гарантированно будет загружено в память и останется работать на весь сеанс.