如何阻止ZIP文件执行恶意JS
当前会对无数用户造成影响而用户浑然不觉的一种威胁就是带有恶意JS代码的ZIP文件,它们能够自动并秘密下载并执行恶意JS文件。
如今用户可以将JS代码添加到ZIP、RAR或其它类型的归档文件中。当解码文件时,JS(JavaScript)文件就会被执行。在Windows环境下,JS代码通过WSH运行。WSH是微软Windows操作系统的自动化技术,跟批量文件类似,但同时能跟JS和Jscript(微软版本的JS)代码一起运行。
跟勒索软件、银行木马和所有类型的恶意软件一样,攻击者会编制一个特殊的恶意ZIP文件、将其附加到一份邮件中,感染数以千计的用户。当用户收到邮件时会下载并解压文件,而且认为如果存在恶意软件,那么可能会打包成EXE放在ZIP文件中。但他们不知道的是,偷偷运行的JS文件已经对用户设备造成了影响,而恶意软件已经获取了根权限。
不过F-Secure安全公司表示可以通过一些方式来阻止此类事件的发生。为了阻止附加在ZIP文件上JS恶意文件的执行,用户必须对Windows注册表进行编辑并禁用JS/Jscript代码和之前提到的WSH之间的自动连接。
具体步骤如下:
1. 打开Windows搜索输入Regedit打开Windows注册表编辑器。
2. 按照下列顺序打开左边出现的文件夹:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsScript Host\Settings"
3. 打开最后一个文件夹“Setttings”之后,进入右边的主板并右击任何地方。
4. 从新弹出的目录中,选择“New”以及“DWORD(32位)值”。
5. 这样就会出现一个新的入口,将其命名为“Enabled”。完成之后双击出现一个新的弹出消息。
6. 在弹出的消息中,确保将0(零)填入Value字段,并且Base设置设为Hexadecimal。
以上就是所有的步骤。关闭Windows并进行测试。为了确保WSH不会打开任何JS文件,首先需要准备一些JS文件。最简单的办法是直接下载这些文件。如果已正确设置Windows注册表,那么就会出现相应的弹出消息提示WSH已被禁用。