防范危险邮件

Author: 熊超 Date: 2000年 第44期

    随着网络的发展,电子邮件的运用已经非常普及。随之而来,各种各样的危险邮件离我们也越来越近。我就曾收到过一封Mail,其附件中有一Joke.bat,里面只有一句:deltree -y d:\*.* ……当然这算不上病毒,但它们的危害有时比病毒还大。像这样的恶作剧程序不一定是可执行?件,比如我们完全可以写一个.reg的注册表文件,内容如下:
  REGEDIT
  [HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command] @=″command /c deltree ……″一旦把它导入注册表,然后当我们双击“我的电脑”时……与此类似,在.hlp的帮助文件里,.pif、.lnk这样的快捷方式文件里也可以写破坏命令。
  再说说HTML病毒,说来好像很可怕,因为HTML网页文件是我们在网络中接触得最多的东西,它也可能是病毒。本来HTML本身是没有危害的,但微软为了增强Web浏览器的功能,给HTML提供了调用外部对象的脚本运行能力,由于可以调用能够读写其它文件的外部对象,所以完全可以把HTML写成病毒。在打开包含有这样脚本和ActiveX控件的网页时,会有提示:“该页上某些软件可能不安全,建议不要运行”,这时除非你很清楚你要做什么,否则千万不要点“确定”。
  像VBS文件,JS文件这样脚本病毒,它们比嵌在HTML内的危险脚本更毒,因为即使它们调用了像FileSystem这样的危险对象来搞破坏,双击它们运行时也没有任何提示。所以“爱虫”才会造成如此大的破坏。这样的文件类型还有.wsc、.wsf、.vbe、.jse等,它们的共同特点是双击它们都会自动调用WScript.exe来解释执行。
  对付这些东西,关键还是要多加小心。对那些调用DOS命令来搞破坏的,我们也可以通过将format、deltree这样的危险命令改个名字来防范。对各种危险脚本,我想最起码我们可以通过编辑文件类型,使得双击它们后并不运行它们。具体的方法,以.vbs的VBScript文件为例:在资源管理器中选“查看”->“文件夹选项”->“文件类型”,找到VBS文件类型,再选“编辑”,然后将“操作”中的“编辑(E)”设为默认值。这样每次双击VBS文件,只是用写字板查看而不会运行它。
  当然这不是治本的办法,只有完全禁止像Windows scripting host这样的危险对象才是最好的办法,这样即使我们运行了一些危险的脚本也会因找不到对象而运行不下去。一个比较好的办法是:打开“运行”,键入regsvr32 /u  wshom.ocx 回车,再键入regsvr32 /u wshext.dll 回车。这样可以把.wsh危险对象的注册值删掉。这样处理一下后,我用“爱虫”还有自制的HTML病毒试了一下,它们都因找不到对象而运行不下去了。
  我们知道,“梅莉莎”和“爱虫”都是利用Outlook来传播的,它们会自动给地址簿里的联系人发送以自己为附件的邮件。所以我们也可以把Outlook提供给外部脚本调用的接口对象给禁掉,让这样的病毒没办法传播。使用Outlook Express的朋友,可以用regsvr32 /u msoe.dll来把Outlook的接口对象给禁掉,这样就不怕“梅莉莎”调用它作邮件传播了。
  以上的处理并不影响IE、OE的正常使用,我的系统在经过这样的处理后,使用中没有出现任何问题。但万一我们还要再用这些对象的时候,只需把上面命令中的/u参数去掉后再运行一次,就又可以把它们重新改回来。