2009年10月22日 星期四

近期Yahoo Mail信箱的病毒一些防治方式

Yahoo Mail 基本上來說在很多人心中是大毒窟
有人每天都可以收到一大堆帶病毒信件的郵件

然後這些病毒信件在每一家防毒來說基本上是抓不到的
為何抓不到?
因為那些檔案本來就是正常的檔案...

該病毒郵件使用的原理大至如下:

寄出郵件,檔案大約1.多k
使用者收到病毒郵件可以看到有夾帶約1.多k左右的lnk
像是
可愛的愛心大頭照.lnk
交易明細.lnk

這一類後面可以看到很明顯的副檔名叫作lnk

而這一類的檔案在執行後
他會依照他的腳本進行動作

腳本內容就不貼了,這邊貼主要的動作

他會使用到系統裡面的FTP.EXE (內建的Windows指令,用處為使用FTP傳輸協定連線到伺服器上下傳東西)
連線到該惡意伺服器下載惡意程式並執行

當下載的惡意程式執行後該lnk檔就不再有任何動作
很單純的就只是一個自動化腳本,利用電腦內建的指令去作自動化動作
也因為都是使用Windows內建的指令,所以在防毒廠商和防毒軟體來說
那東西並不算是病毒 (實際也不是)

也因此在預防上面可以針對FTP.EXE這東西下手

FTP.EXE前面提到是Windows內建指令,功用為使用FTP通訊協定和伺服器進行連線
而FTP.EXE這東西一般人沒有人在使用,所以我們可以將他的檔案權限鎖住讓他無法執行。

使用方式基本上如下:

首先開啟我的電腦
按工作列的工具 -> 資料夾選項 -> 檢視


尋找 "使用簡易檔案共用(建議)" 這一項將他取消打勾.

如果是已經取消的就不管他

之後開啟到windows\system32資料夾,尋找FTP.EXE這一個檔案
在該檔案按滑鼠右鍵選擇內容


之後跳出來的視窗選擇安全性
並尋找名稱那一欄為Everyone的選項選取反白,選取反白後在下方欄位拒絕處全勾.
勾選完後按下確定即可.


如果您之前有將
"使用簡易檔案共用(建議)"
這一項取消打勾的話建議您再將他打勾回去

如果假設沒有Everyone這一個使用者呢?
那就要新增

首先按下群組或使用者名稱下方的新增按鈕


按下之後再跳出的視窗選擇進階


跳出的新視窗在按下立即尋找
等跑完後在最下方視窗處尋找Everyone選取他讓他反白並按下確定.


之後會回到上一層視窗,檢查在輸入物件或名稱來選取這一欄看有沒有Everyone的存在


有就按確定,按完之後就會出現Everyone的名稱了.


當處理完畢之後,就可以發現FTP.EXE已經無法使用.


這樣也因為病毒無法使用FTP.EXE下載病毒,進而讓該下載器無法動作
就可達到防止自動下載真正病毒執行的效果.

然而使用上有一些限制,如果有符合以下限制的人要不然就是換方法
要不然就多留意一些不要執行到了

1.系統磁碟檔案格式為FAT32
2.有需要使用到FTP.EXE這一個內建指令連線伺服器的人 (不是檔FTP傳輸協定,只是單純檔FTP.EXE這個檔案執行而已,只檔這檔案並不影響FTP使用)

基本上最根本的方式就是多注意信件
不要看到就開啟就能減少很多問題了..


至於FAT32因為沒有安全性這東西那要怎麼作才行?
基本上會建議使用安全性原則或者是IFEO去阻檔,這個以後在說...