如何避免此类蠕虫呢?建议如下。
(1)配置Windows设置,使它显示扩展名。在Windows 2000中这可以通过浏览器工具菜单Tools/FolderOptions/View来实现。通过检查那些隐藏为已知文件类型的文件扩展名,一个有害文件(比如EXE或者VBS文件)装扮成无害文件就会困难得多。
(2)一定不要打开扩展名为VBS、SHS和PIF的邮件附件。这些扩展名从未在正常附件中使用,但它们经常被病毒和蠕虫使用。
(3)一定不要打开有两个扩展名的附件,比如*.BMP.EXE或者*.TXT.VBS文件。
(4)除非确实必要,否则不要将文件夹共享给他人。如果共享了,确保不要共享所有的驱动器和Windows目录。
(5)对于用VBS编写的共享蠕虫,很好防范。因为在以VBS为后缀名的文件里,都用到了一个重要的对象:WSH。WSH全称为Windows Scripting Host,是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,WSH是微软在Windows 98中加入的功能,是一种批次语言/自动执行工具,它使得脚本能够直接在Windows桌面或命令提示符下运行。它所对应的程序“C:\Windows\wscript.exe”是一个脚本语言解释器,正是它使得脚本可以被执行,就像执行批处理一样。利用WSH,用户能够操纵WSH对象、ActiveX对象、注册表和文件系统。在Windows 2000下,还可用WSH来访问Windows NT活动目录服务。在带给人们便利的同时,WSH也为病毒的传播留下可乘之机。
由于VBS脚本是通过Windows Script Host来解释执行的,因此将Windows Script Host删除,就再也不用担心这些用VBS和JS编写的病毒了。从另一个角度来说,Windows Script Host本来是被系统管理员用来配置桌面环境和系统服务,实现最小化管理的一个手段,但对于大部分一般用户而言,WSH并没有多大用处,所以我们可以禁止Windows Script Host。另外,禁止VBScript(JScript)文件执行也是可行的办法之一。
首先说说卸载Windows Script Host。在Windows 98中(NT4.0以上同理),打开“控制面板”,打开“添加/删除程序”,点选“Windows安装程序”,再用鼠标双击其中的“附件”一项,然后在打开的窗口中将“Windows Scripting Host”一项的“√”去掉,如图5.1-1所示,然后点“确定”,再点“确定”,这样就可以将Windows Scripting Host卸载。
再谈谈怎样删除VBS,VBE,JS或JSE等与应用程序的映射。点击“我的电脑”→“查看”→“文件夹选项”,在弹出的对话框中,点击“文件类型”,然后删除VBS,VBE,JS或JSE文件后缀名与应用程序的映射(见图5.1-2)。
或者在Windows目录中找到WScript.exe和JScript.exe,更改其名称或者干脆删除。 (6)对Windows 2000用户,还可以通过在Windows 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用,来对付网页中的共享蠕虫。具体方法是:点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用即可(见图5.1-3)。
(7)经常检查注册表,查看HKEY_LOCAL_MACHINE\SoftwarekMicrosoft\Windows\CurrentVersionkNetworkkLamMan是否有可疑的键值。 (8)给系统打上最新的补丁或用最新版本,同时打开病毒防火墙和网络防火墙。这一点已经成为大家的共识了,不再赘述。
