如何避免此類蠕蟲呢?建議如下。
(1)配置Windows設置,使它顯示擴展名。在Windows 2000中這可以通過瀏覽器工具菜單Tools/FolderOptions/View來實現。通過檢查那些隱藏為已知文件類型的文件擴展名,一個有害文件(比如EXE或者VBS文件)裝扮成無害文件就會困難得多。
(2)一定不要打開擴展名為VBS、SHS和PIF的郵件附件。這些擴展名從未在正常附件中使用,但它們經常被病毒和蠕蟲使用。
(3)一定不要打開有兩個擴展名的附件,比如*.BMP.EXE或者*.TXT.VBS文件。
(4)除非確實必要,否則不要將文件夾共享給他人。如果共享了,確保不要共享所有的驅動器和Windows目錄。
(5)對于用VBS編寫的共享蠕蟲,很好防范。因為在以VBS為后綴名的文件里,都用到了一個重要的對象:WSH。WSH全稱為Windows Scripting Host,是微軟提供的一種基于32位Windows平臺的、與語言無關的腳本解釋機制,WSH是微軟在Windows 98中加入的功能,是一種批次語言/自動執行工具,它使得腳本能夠直接在Windows桌面或命令提示符下運行。它所對應的程序“C:\Windows\wscript.exe”是一個腳本語言解釋器,正是它使得腳本可以被執行,就像執行批處理一樣。利用WSH,用戶能夠操縱WSH對象、ActiveX對象、注冊表和文件系統。在Windows 2000下,還可用WSH來訪問Windows NT活動目錄服務。在帶給人們便利的同時,WSH也為病毒的傳播留下可乘之機。
由于VBS腳本是通過Windows Script Host來解釋執行的,因此將Windows Script Host刪除,就再也不用擔心這些用VBS和JS編寫的病毒了。從另一個角度來說,Windows Script Host本來是被系統管理員用來配置桌面環境和系統服務,實現最小化管理的一個手段,但對于大部分一般用戶而言,WSH并沒有多大用處,所以我們可以禁止Windows Script Host。另外,禁止VBScript(JScript)文件執行也是可行的辦法之一。
首先說說卸載Windows Script Host。在Windows 98中(NT4.0以上同理),打開“控制面板”,打開“添加/刪除程序”,點選“Windows安裝程序”,再用鼠標雙擊其中的“附件”一項,然后在打開的窗口中將“Windows Scripting Host”一項的“√”去掉,如圖5.1-1所示,然后點“確定”,再點“確定”,這樣就可以將Windows Scripting Host卸載。
再談談怎樣刪除VBS,VBE,JS或JSE等與應用程序的映射。點擊“我的電腦”→“查看”→“文件夾選項”,在彈出的對話框中,點擊“文件類型”,然后刪除VBS,VBE,JS或JSE文件后綴名與應用程序的映射(見圖5.1-2)。
或者在Windows目錄中找到WScript.exe和JScript.exe,更改其名稱或者干脆刪除。 (6)對Windows 2000用戶,還可以通過在Windows 2000下把服務里面的遠程注冊表操作服務“Remote Registry Service”禁用,來對付網頁中的共享蠕蟲。具體方法是:點擊“管理工具→服務→Remote Registry Service(允許遠程注冊表操作)”,將這一項禁用即可(見圖5.1-3)。
(7)經常檢查注冊表,查看HKEY_LOCAL_MACHINE\SoftwarekMicrosoft\Windows\CurrentVersionkNetworkkLamMan是否有可疑的鍵值。 (8)給系統打上最新的補丁或用最新版本,同時打開病毒防火墻和網絡防火墻。這一點已經成為大家的共識了,不再贅述。