當心!HTML文件也能格式化硬盤

一日，忽然聽朋友說，他在上網的時候，不知點擊了什麼東西，而將他的硬盤全部給格式化了。筆者首先的念頭就是:該不會是中了那個有名的國產宏病毒"七月殺手"?不過這個宏病毒是在系統Autoexec.bat文件中加入了"deltree c:/y"，應該不會格式化整個硬盤。

曾經在某個雜志上看到過一個介紹，說什麼IE浏覽器可以通過執行ActiveX而把硬盤格式化，而且記得當時還公布了源代碼，只是當時公布的源代碼是針對西班牙版的Windows，對中文版的Windows沒有用，說不定那些代碼現在已經被一些高手給改成了針對中文Windows的呢。

問問自己的朋友，他也是稀裡糊塗地被格式化掉硬盤的，當時進入的網站也不記得了。

沒有辦法，筆者只好自己跑到國內的一些網站去找類似的主題文章。皇天不負苦心人，終於找到了幾個可以格式化硬盤的HTML文件。網站上的版主出自好心，提醒下載的網友:只能供自己研究，不可害人。

考慮到危險性，筆者先用記事本隨便打開其中一個看看源代碼，沒有想到這個源文件竟給加了密，裡面是用javascript寫的腳本，加密的部分好像只是一些字符的定義，而真正的腳本內容也只是顯示一些字符在屏幕上。

因為自己的機器是剛裝好的，沒有什麼特別重要的數據，所以就抱著"過把瘾就死"的念頭，用IE浏覽器打開了這個HTML文件。

接著，浏覽器發出一個警告:"該頁上的ActiveX控件與頁上的其它部分進行交互可能不安全，是否允許進行交互?"。

如果你選擇"是"，則就會運行那些不安全控件。不過筆者試的這個HTML文件只是給大家開個玩笑，你打開它後，它說什麼"你的C盤已經被它強行輸入格式化，一旦重新啟動就格式化了。

請不要啟動，立即保存有用的文件。"等諸如此類的話。筆者仔細檢查了一下Windows啟動程序裡的內容，也沒有什麼變化，於是放心大膽地重啟，果然是開的玩笑。

在下載的另外一個HTML文件中，看看源代碼，不禁嚇了一跳。程序僅有的不足30代代碼中有24行都是調用Windows裡自帶的format.com命令，真是夠狠的。除了A、B兩個驅外，只要你能夠分的區C-Z，都會被格式化。

為了驗證其效果，又不想筆者的硬盤被格式化，筆者把Windows裡自帶的format.com給改了名字，然後用IE打開該HTML文件，浏覽器同樣發出一個警告:"該頁上的某些軟件(ActiveX控件)可能不安全。建議您不要運行。是否允許運行?"。

當你選擇"是"的時候，會彈出幾十個DOS窗口，可能是因為它找不到format.com這個文件，找開的所有DOS窗口都是什麼顯示也沒有。

它不但調用了format.com，另外還加上了一些參數，如快速格式化等，再加上格式化時窗口就已經自動完成了硬盤格式化的工作，等你發現時也已經悔之晚矣。幸好筆者事先已經把硬盤裡的format.com給改了名字，否則後果可想而知。

看來現在通過HTML文件來格式化中文版的Windows確實是可以做到的。以後大家上網可要小心點啦。不過，大家也不必怕被噎著而不吃飯，只要你按下面的方法做，照樣能痛快淋漓地進行網上沖浪。

一、不要隨便打開陌生人寄來的Email的附件，現在對於HTML文件，打開時如果出現所謂的"頁面含有不安全的ActiveX"等信息時都該小心了，最好不要運行該ActiveX控件。

二、將Windows系統裡比較危險的一些程序改名，，比如format.com、deltree.exe等。我們在Windows下真正用到這些DOS命令的情況並不是很多，所以對直接調用DOS命令來惡意破壞系統的代碼，改名不失為一種對付的好方法。你可以改為一些容易記的名字，如format.com改為format-1.com。

三、注意更新自己的系統，系統不一定是要最新的版本，但是其安全性方面的補丁就一定要注意，最好能去下載並安裝上。我們常用的反病毒、反黑客程序要定期去更新。

值得注意的是:對於筆者這次用到的格式化硬盤的HTML文件，還沒有什麼反病毒、反黑客程序能夠做出反應(這也難怪，因為這個惡意代碼並不屬於病毒和黑客程序的范疇)。

四、在網上遇到的一些非法網站，如果它要求你下載或者點擊什麼東西，要先看看說明，最好不要輕易相信。以前報紙上介紹的因為下載一個程序而造成撥號上網用戶支付國際長途電話費就是一個慘痛的教訓。

像筆者的朋友那樣因為在網上不聽網頁版主的勸告，硬要去試一試那些程序，結果糊裡糊塗地硬盤被格，這個教訓大家也要好好地汲取。