类似于Homepage这种邮件型病毒让人防不胜防,实在让人有些头疼,由于Windows脚本宿主(Script Host)功能强大,VBScript和JScript脚本语言可以完成操作系统的大部分功能,于是他们也就成了病毒编写者的最爱,利用它来编制病毒程序不但容易,而且利用电子邮件来传递使得病毒的传播非常迅速,所以传统的杀毒软件对这种类型病毒的防治总会有一定的滞后性,所以我们必须自己采取一些有效措施来防治这类病毒,以保护的我们的数据和邮件免受侵害。 一、通用规则 1.发现邮箱中出现不明来源的邮件应小心谨慎对待,尤其是带有可执行附件的邮件,如.EXE、.VBS、.JS等 2.如非必要,尽量关闭邮件“预览”特性。很多嵌入在HTML格式邮件中的病毒代码会在预览的时候执行,我们经常从媒体看到这样一种恐怖说法:“用户只要收到这些带病毒的邮件,即使不打开,病毒也能发作”,其实就是病毒代码在邮件预览的时候执行的。 目前的邮件型病毒绝大多数由VBScript(JScript)编写或是在HTML格式邮件中嵌入Script,针对这些现状,提出以下几点解决办法: 二、防止病毒发作 Windows Script Host本来是被系统管理员用来配置桌面环境和系统服务,实现最小化管理的一个手段,但对于大部分一般用户而言,WSH并没有多大用处,所以最好禁止WSH,也就是禁止VBScript(JScript)文件的运行环境,如果在企业环境中,系统管理员禁止那些不需要VBScript(JScript)的客户机,甚至比一台台地安装防病毒软件更为简单有效。禁止了WSH后,可以防止大部分邮件型病毒的发作。 禁止VBScript(JScript)文件执行的几个办法: 1.在“我的电脑”—“工具”—“文件夹选项”对话框中,点击“文件类型”,删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 2.在Windows目录中,找到WScript.exe和JScript.exe,更改其名称或者干脆删除 3.在Win9X和Windows NT 4.0上,可以通过控制面板中“添加/删除程序”项来安全删除WSH 另外,为了防止可能包含在Outlook邮件中出现的宏病毒的发作,请在选择菜单“工具”—“宏”—“安全性”,然后将安全级别设置为“高安全性”。 三、防止病毒发作后“复制” VBScript(JScript)中的磁盘文件和目录操作几乎都是通过FileSystemObject类来实现的,而对于绝大多数一般户来说,FileSystemObject也没有什么大的作用,所以可以从注册表中删除或更名FileSystemObject类,使得病毒代码无法创建对象,从而可以有效防止病毒复制自身。 运行regedit.exe,然后查找Scripting.FileSystemObject,找到后可以删除该键值(Key Value)或更改键名(Key Name),在做此项操作之前,请最好备份注册表并检查评估此操作对其它相关应用程序可能造成的影响。 在企业环境中,系统管理员可以编制一个自动执行上述操作的VBScript(JScript)程序,来完成在所有客户机上快速配置(其它这才是Microsoft开发WSH的本意)。 四、防止病毒发作后“传播” 邮件型病毒几乎都是通过发送大量的携毒的电子邮件来实现的,所以如何防止病毒脚本取得“联系人”列表(通讯薄)并发送邮件,成为问题的关键。 病毒代码发邮件一般采取两种办法,一是利用Windows自带的CDO(Collaboration Data Object协作数据对象)或通过OOM (Outlook Object Model,Outlook对象模型)来发送,用CDO来发送邮件的时候,必须要有Microsoft SMTP服务器,如果机器上没有安装Microsoft SMTP服务器,病毒就不能发送邮件。注意:Win9X系统上不能安装SMTP服务器、Windows 2000 Professional默认不安装此服务,而Windows 2000 Server与Advanced Server默认情况下是安装此服务的。 1.如果机器已安装了SMTP服务器,可以通过给SMTP服务器加入安全验证,以避免病毒代码利用CDO来匿名发送邮件,详细信息极相关配置可参见Windows 2000 SMTP Server文档。 2.要阻止病毒利用Outlook来发送邮件,可以利用Outlook的“邮件传递推迟”特性,Outlook的这个特性可以让用户在撰写一个邮件并点击“发送”按纽后,邮件并不会马上提交给MTA (邮件传输代理)来传输,而只是暂时保存在用户的“发件箱”文件夹中,待指定的时间过后,再进行真正的邮件发送。这个特性是通过Outlook的“规则”来实现的,成功地设置了这样的规则后,如果你不小心打开并执行了Homepage这样的病毒代码,在一阵硬盘狂响之后,你就会马上注意到你的“发件箱”文件夹中有大量待发邮件突然出现,这样你就可以确认你的机器已遭到病毒的骚扰,你应该立即删除“发件箱”中的这些邮件,并从“已删除邮件”文件夹中清空,这样就可以保证病毒不会再由你这儿传播到其它人的邮箱中。另外,有了这个邮件延迟的特性,可以让你在不小心发错邮件后有更正的机会。 邮件传递推迟特性是通过创建Outlook规则来实现,具体步骤如下: (1)打开Outlook,点击“工具”—“规则向导”菜单 (2)“新建”一个规则,选择“发送邮件后检查”,然后选择对那些邮件或所有邮件进行检查 (3)选择“传递推迟若干分钟”,占击“若干”二字,输入推迟的分钟数 (4)保存并应用此规则 (5)如果在企业环境中,系统管理员可以将此规则导出成文件,然后在客户机上直接导入就行了 注意:上述设置是针对Outlook的,目前版本的Outlook Express尚不支持创建这样的规则。 五、防止病毒发作后搞“破坏” 病毒发作后的破坏行动是多种多样的,其中比较严重就是对硬盘数据和文件进行破坏,一般情况下只要禁用FileObjectSystem对象就可以了。 通过以上的层层设防,您的系统就应该能防御绝大多数针对于Outlook的邮件型病毒了。 另外,屡屡出现的电子邮件病毒总是把自己紧紧地跟Microsoft Outlook“绑”在一起,以致招来用户对Microsoft的众多责难,于是Microsoft痛定思痛,不断推出新的Outlook的安全补丁。在即将发布的Office XP的包含的Outlook 2002中不但全部禁用了HTML格式邮件中的脚本(Script)、ActiveX控件和Java Applet,而且对邮件的附件按类别分级处理,一级文件类型(例如.bat、.exe、.vbs和.js等)是被Outlook所冻结的,用户无法查看或访问此类附件。另外,当用户发送具有一级文件类型扩展名的附件时,将看到一条警告信息。如果文件类型属于二级,则只能将附件保存到硬盘上后,再决定如何进行处理。并且Outlook在其它程序访问“通讯簿”的时候给予用户提示,要求确认,这样从几个方面严格限制了病毒发作与传播。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-11-6 03:05 , Processed in 0.836644 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.