恶意代码与网络安全(4)

三、真相大白 

现在，再回过头来看看我所中的木马是怎么回事。其实，wincfg．exe这个文件在这里相当于邮件的附件，从我们所列的代码中可以看到，攻击者把wincfg．exe的类型定义为audio/x-wav，由于邮件的类型为audio/x-wav时，IE存在的这个错误的MIME头漏洞会将附件认为是音频文件，并自动尝试打开，结果导致邮件文件wincfg．eml中的附件wincfg．exe(木马)被执行。在Win2000下，即使是用鼠标点击下载下来的wincfg．eml，或是拷贝粘贴该文件，都会导致wincfg．eml中的附件被运行，微软的这个漏洞可真是害人不浅啊。现在看来，原先那些攻击者想方设法欺骗被攻击目标执行修改过的木马等后门程序，是多么落后的手段啊！如今，利用微软“创造”的这个大漏洞来进行攻击，是多么简单、多么容易啊！唯一的条件就是被攻击目标使用IE5．0及以上版本中的一种，使用IE浏览器的用户到底有多少呢？看看你身边的朋友就知道答案了！ 

四、解决办法 

1点击“开始”→“运行”，在弹出的对话框中输入“regedit”，回车。然后展开注册表到“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”下删除wincfg．exe； 

2到你的计算机的系统目录下，删除其中的wincfg．exe文件； 

3重新启动机器，就一切OK了！ 

五、预防方法 

1．IE和Outlook的用户。 

1在IE的“工具→Internet选项→安全→Internet区域的安全级别”，把安全极别由“中”改为“高”。 

2点击“自定义级别”按钮，在弹出的窗口中，禁用“对标记为可安全执行脚本的ActiveX控件执行脚本”、“活动脚本”和“文件下载”功能。 

3禁用所有的ActiveX控制和插件。 

4将资源管理器设置成“始终显示扩展名”。 

5禁止以WEB方式使用资源管理器。 

6取消“下载后确认打开”这种扩展名属性设置。 

2．不要受陌生人的诱惑打开别人给你的URL，如果确实想看，可以通过一些下载工具把页面下载下来，然后用记事本等一些文本编辑工具打开查看代码。 

3．微软公司为该漏洞提供了一个补丁，赶快到下面所列出的URL去看看吧!