常见危险文件的防范方法

大家知道.bat是DOS批处理命令文件,我们可以用记事本编辑添加一些命令,运行它以后系统就会自动逐条执行命令。所以一些危险的命令就会被某些有心人写进批处理文件中去,在网上四处传播搞破坏,例如在1 .bat中写进:

  deltree -y c:*.*


  接下来的事情就是你赶紧拿条手巾擦眼泪吧。从这个意义上说它比病毒还要恶毒。


  另外,注册表文件.reg也可以被编写进类似的代码,例如我们编辑一个1 .reg:


  REGEDIT4


  [HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}sellopencommand]@="command/c deltree"


  双击执行它导入注册表,我胆小没敢试,哪位胆子大请试试看,请告诉我答案,嘻嘻~~(注:千万不要去试,很危险的)。


  类似的,在.hlp(帮助文件)、.pif(指向DOS的快捷方式)、.lnk(WINDOWS快捷方式)这些文件中也可以写入危险的命令,如果不小心执行了那就危险了。防范以上调用DOS命令进行破坏的文件,被动的做法是通过将format、deltree这类命令改名换姓。


  HTML网页文件对大家来说再熟悉不过了,HTML本身没有危害的,但HTML有一个调用外部对象的脚本运行的功能,可以调用能够读写其它文件的外部对象,所以也就被居心不良者利用,把带有恶意有脚本嵌入HTML中,当你打开包含有这类脚本和ActiveX控件的网页时,HTML应用文件中的可执行程序就会自动运行,接下来就是……所以有时当IE提示“该页上某些软件可能不安全,建议不要运行”,最好不要点“确定”。


  但是像.VBS、.JS这类脚本文件病毒就更毒、更狠了,因为它们在破坏过程中几乎无声无息,运行它们时没有任何提示。去年风光一时“爱虫”属于此类病毒,最近大名鼎鼎的“HAPPY TIME”甚至只要用鼠标移动到它的邮件名上,IE的预览功能就可激活此病毒,好利害!象这样的文件还有.wsc、.wsf、vbe、jse,它们有一个共同点就是用 Wscript.exe来执行,也就是WINDOWS的“批处理”——Windows scripting host。


  防范此类病毒的方法就是将Windows scripting host卸载掉,具体方法是:我的电脑→控制面板→添加/删除程序→安装WINDOWS→附件→详细资料→Windows scripting host→确定。其实还有一种方法更简单,依次键入下面两段命令:regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车,就可以把注册表中.wsh对象的注册值删掉。这样那些必须依靠对象运行的病毒就因为找不着对象而无法运行下去。


  另外,这些病毒基本都是利用Outlook来散播的,它们往往会自动往地址簿中的EMAIL地址发送以自已为附件的邮件。所以我们也可以把Outlook提供给外部脚本调用的接口对象给禁掉,具体作法是:regsvr32/u msoe.dll。如果要恢复使用,只要在以上的命令中去掉/u再运行一次即可。


  在此,建议您在浏览一些不熟悉的网站时最好把IE的安全级别设为高级,把ActiveX控件和插件关闭,将Active scripting屏蔽掉。方法是:运行IE→工具→Internet选项→安全→自定义级别,对所有ActiveX相关选项选“禁用”,对所有JS脚本也选择“禁用”选项。对于来历不明的邮件,特别是含有附件的邮件不要轻易打开,更不要执行附件里面的文件。


  安装网络防火墙也是非常必要的(特别是拔号上网用户),至少可以在你的电脑和网络之间筑起一道防线,防火墙软件推荐您用国产的“天网个人防火墙”,免费,占用系统资源也不多。再有,平时还要打开杀毒软件的实时监控以防止病毒感染和破坏;对于经常下载软件的下载狂(例如小弟我),每次下载完一定要用几种杀毒软件轮流查一遍,在确保无毒的情况,再用木马查杀软件如TheCleaner、木马克星等查上一遍,然后方可执行。最后,就是要及时更新这些软件的病毒库,否则,对新病毒、新木马的防御几乎等于零。