如何避免此類蠕蟲呢?建議如下。
(1)配置Windows設(shè)置,使它顯示擴(kuò)展名。在Windows 2000中這可以通過瀏覽器工具菜單Tools/FolderOptions/View來實(shí)現(xiàn)。通過檢查那些隱藏為已知文件類型的文件擴(kuò)展名,一個(gè)有害文件(比如EXE或者VBS文件)裝扮成無害文件就會(huì)困難得多。
(2)一定不要打開擴(kuò)展名為VBS、SHS和PIF的郵件附件。這些擴(kuò)展名從未在正常附件中使用,但它們經(jīng)常被病毒和蠕蟲使用。
(3)一定不要打開有兩個(gè)擴(kuò)展名的附件,比如*.BMP.EXE或者*.TXT.VBS文件。
(4)除非確實(shí)必要,否則不要將文件夾共享給他人。如果共享了,確保不要共享所有的驅(qū)動(dòng)器和Windows目錄。
(5)對(duì)于用VBS編寫的共享蠕蟲,很好防范。因?yàn)樵谝訴BS為后綴名的文件里,都用到了一個(gè)重要的對(duì)象:WSH。WSH全稱為Windows Scripting Host,是微軟提供的一種基于32位Windows平臺(tái)的、與語言無關(guān)的腳本解釋機(jī)制,WSH是微軟在Windows 98中加入的功能,是一種批次語言/自動(dòng)執(zhí)行工具,它使得腳本能夠直接在Windows桌面或命令提示符下運(yùn)行。它所對(duì)應(yīng)的程序“C:\Windows\wscript.exe”是一個(gè)腳本語言解釋器,正是它使得腳本可以被執(zhí)行,就像執(zhí)行批處理一樣。利用WSH,用戶能夠操縱WSH對(duì)象、ActiveX對(duì)象、注冊(cè)表和文件系統(tǒng)。在Windows 2000下,還可用WSH來訪問Windows NT活動(dòng)目錄服務(wù)。在帶給人們便利的同時(shí),WSH也為病毒的傳播留下可乘之機(jī)。
由于VBS腳本是通過Windows Script Host來解釋執(zhí)行的,因此將Windows Script Host刪除,就再也不用擔(dān)心這些用VBS和JS編寫的病毒了。從另一個(gè)角度來說,Windows Script Host本來是被系統(tǒng)管理員用來配置桌面環(huán)境和系統(tǒng)服務(wù),實(shí)現(xiàn)最小化管理的一個(gè)手段,但對(duì)于大部分一般用戶而言,WSH并沒有多大用處,所以我們可以禁止Windows Script Host。另外,禁止VBScript(JScript)文件執(zhí)行也是可行的辦法之一。
首先說說卸載Windows Script Host。在Windows 98中(NT4.0以上同理),打開“控制面板”,打開“添加/刪除程序”,點(diǎn)選“Windows安裝程序”,再用鼠標(biāo)雙擊其中的“附件”一項(xiàng),然后在打開的窗口中將“Windows Scripting Host”一項(xiàng)的“√”去掉,如圖5.1-1所示,然后點(diǎn)“確定”,再點(diǎn)“確定”,這樣就可以將Windows Scripting Host卸載。
再談?wù)勗鯓觿h除VBS,VBE,JS或JSE等與應(yīng)用程序的映射。點(diǎn)擊“我的電腦”→“查看”→“文件夾選項(xiàng)”,在彈出的對(duì)話框中,點(diǎn)擊“文件類型”,然后刪除VBS,VBE,JS或JSE文件后綴名與應(yīng)用程序的映射(見圖5.1-2)。
或者在Windows目錄中找到WScript.exe和JScript.exe,更改其名稱或者干脆刪除。 (6)對(duì)Windows 2000用戶,還可以通過在Windows 2000下把服務(wù)里面的遠(yuǎn)程注冊(cè)表操作服務(wù)“Remote Registry Service”禁用,來對(duì)付網(wǎng)頁中的共享蠕蟲。具體方法是:點(diǎn)擊“管理工具→服務(wù)→Remote Registry Service(允許遠(yuǎn)程注冊(cè)表操作)”,將這一項(xiàng)禁用即可(見圖5.1-3)。
(7)經(jīng)常檢查注冊(cè)表,查看HKEY_LOCAL_MACHINE\SoftwarekMicrosoft\Windows\CurrentVersionkNetworkkLamMan是否有可疑的鍵值。 (8)給系統(tǒng)打上最新的補(bǔ)丁或用最新版本,同時(shí)打開病毒防火墻和網(wǎng)絡(luò)防火墻。這一點(diǎn)已經(jīng)成為大家的共識(shí)了,不再贅述。
