据介绍,“诺顿反病毒2000"软件(视窗版)为实现实时扫描电子邮件病毒的功能,占用了一个TCP/IP端口,在此设置了一个虚拟的邮局协议(即POP协议)服务器。当电脑用户下载电子邮件时,这个虚拟服务器将起到代理服务器的作用,在用户的电脑和网络服务商的真实POP服务器之间充当屏障,使“诺顿反病毒2000"有时间来对下载过程中的电子邮件进行扫描。
但不幸的是,这种开放TCP/IP端口的设计存在两个方面的问题。一是它让用户的电脑在互联网上彻底暴露,实际上等于是向黑客发出攻击邀请。专家指出,黑客寻找攻击目标就是从扫描IP地址开始的,一旦他们发现了POP服务器,就会试探着攻击。二是在这个端口(110端口)上运行的应用软件可能被黑客用来作为攻击的入点。KeyLabs公司的研究人员经过实验,发现“诺顿反病毒2000"设计的代理服务器存在许多与“缓存溢出”有关的缺陷,这就是说,只要通过远程登录程序(telnet)的USER命令向服务器发送长度超过256个字节的字符串,就可以成功突破反病毒程序的防线。更值得注意的是,研究人员有一次在暂停“诺顿反病毒2000"的电子邮件扫描功能之后,向110端口的代理服务器发送一连串远程登录缓存溢出命令便轻而易举地使一台运行视窗98第二版的主机陷于瘫痪。
专家建议使用赛门铁克公司这个软件的用户通过下述方法关闭其扫描电子邮件病毒的功能:1)点击“开始”菜单,运行“诺顿反病毒2000"软件。2)点击“选项”,去掉“启动电子邮件保护”选项前的对勾。3)点击“确定”关闭“诺顿反病毒2000"。经过上述处理,代理服务器和110端口被关闭。如果要扫描收到的电子邮件,可将它们存储到一个临时目录当中,再启动“诺顿反病毒2000"进行扫描。但是,这个方法对那些能够自动发作的电子邮件病毒(如“泡沫男孩”)不起作用。
