|
類似于Homepage這種郵件型病毒讓人防不勝防����,實(shí)在讓人有些頭疼,由于Windows腳本宿主(Script Host)功能強(qiáng)大,VBScript和JScript腳本語言可以完成操作系統(tǒng)的大部分功能,于是他們也就成了病毒編寫者的最愛���,利用它來編制病毒程序不但容易,而且利用電子郵件來傳遞使得病毒的傳播非常迅速�,所以傳統(tǒng)的殺毒軟件對(duì)這種類型病毒的防治總會(huì)有一定的滯后性,所以我們必須自己采取一些有效措施來防治這類病毒,以保護(hù)的我們的數(shù)據(jù)和郵件免受侵害���。
一�����、通用規(guī)則
1.發(fā)現(xiàn)郵箱中出現(xiàn)不明來源的郵件應(yīng)小心謹(jǐn)慎對(duì)待�,尤其是帶有可執(zhí)行附件的郵件����,如.EXE���、.VBS��、.JS等
2.如非必要���,盡量關(guān)閉郵件“預(yù)覽”特性���。很多嵌入在HTML格式郵件中的病毒代碼會(huì)在預(yù)覽的時(shí)候執(zhí)行,我們經(jīng)常從媒體看到這樣一種恐怖說法:“用戶只要收到這些帶病毒的郵件���,即使不打開���,病毒也能發(fā)作”,其實(shí)就是病毒代碼在郵件預(yù)覽的時(shí)候執(zhí)行的�����。
目前的郵件型病毒絕大多數(shù)由VBScript(JScript)編寫或是在HTML格式郵件中嵌入Script�,針對(duì)這些現(xiàn)狀,提出以下幾點(diǎn)解決辦法:
二��、防止病毒發(fā)作
Windows Script Host本來是被系統(tǒng)管理員用來配置桌面環(huán)境和系統(tǒng)服務(wù)���,實(shí)現(xiàn)最小化管理的一個(gè)手段�,但對(duì)于大部分一般用戶而言����,WSH并沒有多大用處����,所以最好禁止WSH���,也就是禁止VBScript(JScript)文件的運(yùn)行環(huán)境���,如果在企業(yè)環(huán)境中,系統(tǒng)管理員禁止那些不需要VBScript(JScript)的客戶機(jī)�����,甚至比一臺(tái)臺(tái)地安裝防病毒軟件更為簡(jiǎn)單有效��。禁止了WSH后�����,可以防止大部分郵件型病毒的發(fā)作�����。
禁止VBScript(JScript)文件執(zhí)行的幾個(gè)辦法:
1.在“我的電腦”—“工具”—“文件夾選項(xiàng)”對(duì)話框中���,點(diǎn)擊“文件類型”���,刪除VBS、VBE���、JS��、JSE文件后綴名與應(yīng)用程序的映射
2.在Windows目錄中���,找到WScript.exe和JScript.exe,更改其名稱或者干脆刪除
3.在Win9X和Windows NT 4.0上�,可以通過控制面板中“添加/刪除程序”項(xiàng)來安全刪除WSH
另外,為了防止可能包含在Outlook郵件中出現(xiàn)的宏病毒的發(fā)作���,請(qǐng)?jiān)谶x擇菜單“工具”—“宏”—“安全性”���,然后將安全級(jí)別設(shè)置為“高安全性”。
三����、防止病毒發(fā)作后“復(fù)制”
VBScript(JScript)中的磁盤文件和目錄操作幾乎都是通過FileSystemObject類來實(shí)現(xiàn)的,而對(duì)于絕大多數(shù)一般戶來說,F(xiàn)ileSystemObject也沒有什么大的作用�����,所以可以從注冊(cè)表中刪除或更名FileSystemObject類�����,使得病毒代碼無法創(chuàng)建對(duì)象�,從而可以有效防止病毒復(fù)制自身。
運(yùn)行regedit.exe�,然后查找Scripting.FileSystemObject,找到后可以刪除該鍵值(Key Value)或更改鍵名(Key Name)�,在做此項(xiàng)操作之前,請(qǐng)最好備份注冊(cè)表并檢查評(píng)估此操作對(duì)其它相關(guān)應(yīng)用程序可能造成的影響���。
在企業(yè)環(huán)境中�����,系統(tǒng)管理員可以編制一個(gè)自動(dòng)執(zhí)行上述操作的VBScript(JScript)程序�����,來完成在所有客戶機(jī)上快速配置(其它這才是Microsoft開發(fā)WSH的本意)���。
四�、防止病毒發(fā)作后“傳播”
郵件型病毒幾乎都是通過發(fā)送大量的攜毒的電子郵件來實(shí)現(xiàn)的���,所以如何防止病毒腳本取得“聯(lián)系人”列表(通訊薄)并發(fā)送郵件,成為問題的關(guān)鍵�。
病毒代碼發(fā)郵件一般采取兩種辦法,一是利用Windows自帶的CDO(Collaboration Data Object協(xié)作數(shù)據(jù)對(duì)象)或通過OOM (Outlook Object Model��,Outlook對(duì)象模型)來發(fā)送���,用CDO來發(fā)送郵件的時(shí)候��,必須要有Microsoft SMTP服務(wù)器��,如果機(jī)器上沒有安裝Microsoft SMTP服務(wù)器���,病毒就不能發(fā)送郵件。注意:Win9X系統(tǒng)上不能安裝SMTP服務(wù)器�����、Windows 2000 Professional默認(rèn)不安裝此服務(wù)����,而Windows 2000 Server與Advanced Server默認(rèn)情況下是安裝此服務(wù)的��。
1.如果機(jī)器已安裝了SMTP服務(wù)器���,可以通過給SMTP服務(wù)器加入安全驗(yàn)證,以避免病毒代碼利用CDO來匿名發(fā)送郵件��,詳細(xì)信息極相關(guān)配置可參見Windows 2000 SMTP Server文檔����。
2.要阻止病毒利用Outlook來發(fā)送郵件,可以利用Outlook的“郵件傳遞推遲”特性���,Outlook的這個(gè)特性可以讓用戶在撰寫一個(gè)郵件并點(diǎn)擊“發(fā)送”按紐后��,郵件并不會(huì)馬上提交給MTA (郵件傳輸代理)來傳輸�,而只是暫時(shí)保存在用戶的“發(fā)件箱”文件夾中���,待指定的時(shí)間過后�����,再進(jìn)行真正的郵件發(fā)送����。這個(gè)特性是通過Outlook的“規(guī)則”來實(shí)現(xiàn)的,成功地設(shè)置了這樣的規(guī)則后����,如果你不小心打開并執(zhí)行了Homepage這樣的病毒代碼,在一陣硬盤狂響之后�����,你就會(huì)馬上注意到你的“發(fā)件箱”文件夾中有大量待發(fā)郵件突然出現(xiàn)���,這樣你就可以確認(rèn)你的機(jī)器已遭到病毒的騷擾,你應(yīng)該立即刪除“發(fā)件箱”中的這些郵件���,并從“已刪除郵件”文件夾中清空����,這樣就可以保證病毒不會(huì)再由你這兒傳播到其它人的郵箱中����。另外,有了這個(gè)郵件延遲的特性����,可以讓你在不小心發(fā)錯(cuò)郵件后有更正的機(jī)會(huì)����。
郵件傳遞推遲特性是通過創(chuàng)建Outlook規(guī)則來實(shí)現(xiàn)�����,具體步驟如下:
(1)打開Outlook��,點(diǎn)擊“工具”—“規(guī)則向?qū)А辈藛?/P>
(2)“新建”一個(gè)規(guī)則�,選擇“發(fā)送郵件后檢查”,然后選擇對(duì)那些郵件或所有郵件進(jìn)行檢查
(3)選擇“傳遞推遲若干分鐘”����,占擊“若干”二字,輸入推遲的分鐘數(shù)
(4)保存并應(yīng)用此規(guī)則
(5)如果在企業(yè)環(huán)境中�����,系統(tǒng)管理員可以將此規(guī)則導(dǎo)出成文件�,然后在客戶機(jī)上直接導(dǎo)入就行了
注意:上述設(shè)置是針對(duì)Outlook的,目前版本的Outlook Express尚不支持創(chuàng)建這樣的規(guī)則�。
五、防止病毒發(fā)作后搞“破壞”
病毒發(fā)作后的破壞行動(dòng)是多種多樣的��,其中比較嚴(yán)重就是對(duì)硬盤數(shù)據(jù)和文件進(jìn)行破壞,一般情況下只要禁用FileObjectSystem對(duì)象就可以了���。
通過以上的層層設(shè)防����,您的系統(tǒng)就應(yīng)該能防御絕大多數(shù)針對(duì)于Outlook的郵件型病毒了�����。
另外�,屢屢出現(xiàn)的電子郵件病毒總是把自己緊緊地跟Microsoft Outlook“綁”在一起���,以致招來用戶對(duì)Microsoft的眾多責(zé)難�,于是Microsoft痛定思痛�����,不斷推出新的Outlook的安全補(bǔ)丁���。在即將發(fā)布的Office XP的包含的Outlook 2002中不但全部禁用了HTML格式郵件中的腳本(Script)���、ActiveX控件和Java Applet���,而且對(duì)郵件的附件按類別分級(jí)處理,一級(jí)文件類型(例如.bat�����、.exe�、.vbs和.js等)是被Outlook所凍結(jié)的,用戶無法查看或訪問此類附件���。另外����,當(dāng)用戶發(fā)送具有一級(jí)文件類型擴(kuò)展名的附件時(shí)���,將看到一條警告信息�����。如果文件類型屬于二級(jí)�,則只能將附件保存到硬盤上后��,再?zèng)Q定如何進(jìn)行處理�。并且Outlook在其它程序訪問“通訊簿”的時(shí)候給予用戶提示���,要求確認(rèn),這樣從幾個(gè)方面嚴(yán)格限制了病毒發(fā)作與傳播��。
出處:博客堂
責(zé)任編輯:Tunco
|
