與木馬斗爭妙招來助力

特如

上網過程中，遭遇木馬程序襲擊總是不可避免，輕則會失去計算機系統控制權，嚴重的時候能發生重要隱私外泄，從而引起經濟或名譽上的損失。為了減少各種不必要的損失，我們需要立即行動起來，與木馬程序堅決斗爭到底。

判斷是否存在木馬

倘若懷疑自己的Windows系統，已經被意外感染木馬程序，而手頭恰好又沒有專門工具進行掃描確認時，不妨巧妙通過Windows系統自身的力量，來判斷木馬攻擊是否存在。

著眼帳號進行判斷

進入Windows系統的MS-DOS工作窗口，通過內置的“net user”命令，弄清楚當前Windows系統中究竟存在哪些用戶賬號，之后在命令行提示符下，執行“net user + xxx”命令（“xxx”為陌生用戶的賬號名稱），了解陌生用戶處于哪種權限級別。

正常來說，只有用戶自己添加的賬號和系統自帶的administrator賬號隸屬于administrator組外，倘若看到一個Windows系統自帶的用戶擁有administrator組訪問權限時，那很可能意味著本地計算機已經被木馬入侵了，而且還在本地系統中進行了賬號克隆操作。為了避免安全威脅，我們可以在DOS命令行中，使用“net user xxx /del”命令，將存在可疑的用戶賬號給刪除掉，禁止木馬程序利用該陌生賬號攻擊計算機。

著眼服務進行判斷

有些狡猾的木馬程序，往往會將自己偽裝成不易讓人發現的系統服務，所以，我們應該定期打開系統服務列表界面，檢查正在運行的系統服務，有哪些是不明來歷的服務。當然，也可以進入MS-DOS工作窗口，執行“net start”命令，從返回的如圖1所示結果界面中，就能直觀查明有什么系統服務在啟動運行。一旦有陌生系統服務處于啟動狀態時，可以執行“net stop xxx”命令（“xxx”為陌生系統服務名稱），強行將其工作狀態停用掉。

當然，如果想查看某個陌生系統服務的詳細屬性信息時，建議大家依次單擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“services.msc”命令，切換到系統服務列表界，用鼠標雙擊某個服務選項，在對應選項設置對話框中，就能看到目標系統服務的工作狀態、登錄性質和啟動類型等信息。

當確認某個陌生服務，就是木馬程序所啟動的服務時，只要在對應服務屬性對話框中，點擊“停止”按鈕，將其工作狀態強行停止，之后將它的啟動類型參數選擇為“已禁用”，以避免該木馬服務日后跟隨Windows系統自動啟動運行，確認后保存設置操作即可。

著眼連接進行判斷

一些木馬程序常常會占用本地計算機中的網絡端口，如果我們能夠對Windows系統的網絡端口進行及時監控，一旦發現有數值比較大的端口被占用時，那多半是木馬程序已經感染了計算機系統。在查看本地計算機中所有網絡端口的開啟狀態時，可以依次單擊“開始”|“運行”命令，彈出系統運行對話框，輸入“cmd”命令并回車，切換到DOS命令行工作窗口，輸入“netstat -na”命令，單擊回車鍵后，從返回的如圖2所示結果界面中，就能直觀看到所有網絡端口的狀態信息，包括源地址端口號和目標地址端口號。

尋找木馬文件蹤跡

當確認本地系統中存在木馬攻擊時，我們就需要努力將躲藏起來的木馬攻擊文件找到，并將其及時刪除掉，以避免它繼續威脅系統安全。考慮到木馬文件都具有隱藏屬性，只有先開啟Windows系統的隱藏文件顯示功能，才能方便尋找木馬文件蹤跡。在打開隱藏文件顯示功能時，只要先打開系統資源管理器窗口，依次點擊“組織”|“文件夾和搜索選項”命令，彈出文件夾選項設置框，選擇“查看”標簽，切換到如圖3所示的標簽設置頁面，選中“顯示隱藏的文件、文件夾和驅動器”選項，同時取消選中“隱藏受保護的操作系統文件”選項，單擊“確定”按鈕后保存設置操作。

考慮到很多木馬程序都會將自身拷貝到系統文件夾中，同時會添加到系統啟動項，這是因為要是木馬程序不這么操作，很容易被用戶發現，不添加到系統啟動項中，重新啟動Windows系統后，木馬程序就不能自動發作運行了。所以，要想尋找木馬文件蹤跡，必須要檢查以下一些位置。

檢查啟動文件夾

木馬將自身隱藏在系統啟動文件夾中，盡管隱蔽效果不是很好，不過能方便自動加載運行。系統啟動文件夾位置一般位于“C：＼Documents and Settings＼xxx＼開始菜單＼程序＼啟動”，這里的“xxx”為當前登錄用戶賬號。還有一個系統啟動文件夾對所有用戶有效，無論哪種權限的用戶登錄進入系統，只要將程序添加到該文件夾中，都能達到自動啟動目的，該啟動文件夾位置常位于“C：＼Documents and Settings＼All Users＼開始菜單＼程序＼啟動”。

檢查系統注冊表

系統注冊表中的許多啟動分支下面，可以尋找到木馬文件蹤跡，所以我們應該定期查看下面分支中的一些鍵值：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_USERS＼.DEFAULT＼Software＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Windows、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon。endprint

當然，也有一些特別的木馬程序，會將自己偽裝為系統服務，隱藏到系統注冊表中，日后它們會以系統服務方式發作運行，從而給本地計算機帶來安全威脅。為了能查找到這類木馬的“身影”，我們需要打開系統注冊表，將鼠標定位到HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services分支上，仔細檢查該分支下的鍵值，就能將木馬文件尋找出來了。

為了禁止木馬文件日后繼續將自身隱藏到注冊表啟動分支中，我們可以對特定分支的編輯權限進行控制。在進行這種操作時，先選中目標注冊表分支，依次選擇“編輯”|“權限”選項，切換到目標分支權限編輯對話框（如圖4所示），在“組或用戶名稱”設置項處，將“everyone”賬號的“讀取”權限修改為“允許”，將其他權限修改為“拒絕”，再將其他一些用戶賬號全部刪除，確認后保存設置即可。

檢查IE主頁面

有些木馬程序可能會修改IE瀏覽器主頁面，同時將惡意文件隱藏到對應主頁面中，一旦IE瀏覽器開啟運行時，這些狡猾的木馬程序就能自動發作運行。要找到這類木馬文件，可以依次檢查HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼MAIN、HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼UrlSearchHooks、HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼UrlSearchHooks等分支，通過這些分支下面的鍵值，就能找到木馬文件的詳細路徑，并及時將木馬文件刪除。

檢查系統文件

為了達到自動啟動目的，木馬程序也會悄悄修改System.ini、Win.ini等系統配置文件，所以檢查這類系統文件，或許能夠發現木馬文件蹤跡。打開系統運行對話框，輸入“System.ini”關鍵字，單擊回車鍵后，彈出System.ini文件編輯對話框，從中找到“Boot”字段，檢查“Shell=Explorer.exe”后面是否存在“*.exe”之類的內容，如果存在的話，那么多半是本地系統遭遇到了木馬程序的攻擊，而“*.exe”程序文件自然也就是惡意文件了。當然，該配置文件中的“drivers”、“mic”、“drivers32”等字段下面，也可能潛藏有木馬文件，所以，我們也要認真檢查這些字段內容。

按照同樣的操作方法，打開Win.ini文件編輯對話框，檢查該文件中是否存在“run=”、“load=”等啟動命令，這些命令后面默認是空白的，如果存在其他的應用程序，比方說存在“C：＼Windows＼Command.exe”程序時，那該程序多半就是木馬文件。

檢查文件關聯

不少木馬程序常常會通過編輯注冊表的方法，調整文件關聯設置，這樣當用戶日后啟動運行txt、inf、exe格式的文件時，木馬程序就能隨之啟動運行。所以，要尋找這類木馬文件的蹤跡，可以先檢查系統注冊表中的HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command分支（如圖5所示），看看該分支下的默認鍵值是否為“"%1" %*”，如果不是的話，那就說明exe類型文件的關聯設置被木馬程序修改了，只有將數值修改回來，才能阻止木馬程序的攻擊。同樣地，檢查HKEY_CLASSES_ROOT＼txtfile＼shell＼open＼command分支下的默認鍵值是否為“C：＼windows＼notepad.exe %1”，檢查HKEY_CLASSES_ROOT＼inffile＼shell＼open＼command分支下的默認鍵值是否為“%SystemRoot%＼system32＼NOTEPAD.EXE %1”，如果不正常的話，也要將它們修改回來。

檢查文件擴展名

為了躲避普通用戶的查殺，一些狡猾的木馬程序，有時會將惡意文件圖標，偽裝成普通文本、圖像、視頻文件的圖標，同時將文件名稱修改為“*.txt.exe”格式，之后利用Windows系統默認不顯示已知文件擴展名的特點，達到隱藏目的。普通用戶在默認狀態下，會認為“*.txt.exe”格式的木馬文件屬于常見文本文件，不經意間雙擊文件圖標時，就能啟動運行木馬文件了。

要對付這類木馬文件，只要打開系統資源管理器窗口，依次點擊“組織”|“文件夾和搜索選項”命令，彈出文件夾選項設置框，選擇“查看”標簽，切換到查看標簽設置頁面，取消選中“隱藏已知文件類型的擴展名”選項，單擊“確定”按鈕后保存設置操作。這樣，日后每次雙擊某個文件時，只要遇到有文件屬于“*.txt.exe”格式，那么該文件肯定是木馬文件。

檢查系統組策略

還有一些木馬程序隱蔽性很強，它們有時會將惡意文件隱藏到系統組策略中，讓一般用戶不能找到它們的“身影”。為了弄清楚系統組策略中是否存在木馬文件，我們可以依次選擇“開始”、“運行”選項，在彈出的系統運行對話框中，輸入“gpedit.msc”命令并回車，切換到系統組策略控制臺窗口，將鼠標定位到該窗口左側列表中的“用戶配置”、“管理模板”、“系統”、“登錄”分支上。找到該分支下的“在用戶登錄時運行這些程序”選項，并用鼠標雙擊之，打開如圖6所示的選項設置框，將“已啟用”選中，同時按下“顯示”按鈕，切換到應用程序默認啟動列表框。在這里應該沒有任何應用程序出現才對，一旦看到有陌生程序存在，那該陌生程序多半就是木馬程序，此時只要將它們清空刪除，再找到并刪除木馬程序源文件。

巧妙刪除木馬程序

1. 刪除常規木馬

當采取上述措施，尋找到木馬文件的蹤跡后，就需要立即將本地計算機與網絡斷開，以避免木馬程序通過網絡對自己進行攻擊和監控。之后，通過已經查找到的木馬程序名稱，搜索系統注冊表，尋找到相關鍵值，定位到木馬源文件在硬盤中的具體位置，手工刪除源頭木馬文件。當發現某個木馬文件無法被刪除時，可以打開DOS命令行窗口，或者直接啟動到純DOS工作狀態，執行del命令強行刪除木馬文件。倘若木馬文件的屬性是系統的、隱藏的、只讀的，那么可以使用“attrib -s -r -h”命令，將木馬文件的屬性調整為普通屬性，再執行刪除操作即可。endprint

2. 刪除DLL木馬

有的木馬程序會通過DLL文件來替代系統文件，達到既能啟動木馬程序，又能保持原來DLL文件的功能。在刪除這類特殊木馬文件時，可以先在系統工作正常的情況下，進入DOS命令行工作窗口，使用“cd”命令將當前目錄設置為“system32”，執行“dir *.dll > 111.txt”命令（如圖7所示），將對應目錄下面所有的Dll文件備份到“111.txt”文件中。

日后，當懷疑本地計算機中遇到DLL木馬襲擊時，可以按照上述操作方法，再次執行“dir *.dll > 222.txt”命令，將感染了DLL木馬之后的所有DLL文件備份到“222.txt”文件中。之后，輸入字符串命令“fc 111.txt 222.txt > 333.txt”，單擊回車鍵后，對系統感染木馬前后兩次的DLL文件進行比較，并將比較的結果保存到“333.txt”文件中。打開該文本文件，就能了解到系統多出了哪些DLL文件，根據文件創建的時間、版本等信息，就能知道哪些文件是DLL木馬文件了。進入DLL木馬文件所在的目錄，強行對其執行刪除操作，這樣就能將木馬清除干凈了。使用相同的操作方法，還可以刪除EXE木馬文件。

3. 刪除捆綁木馬

與常規木馬相比，捆綁型木馬十分狡猾，常常會和正常的應用程序綁定在一起，讓人防不勝防。有鑒于此，我們可以使用LaunchSupervisor這款專業工具，來輕松對付捆綁型木馬，該工具是專門用于查殺使用免殺技術和與軟件捆綁技術的木馬程序或病毒。

開啟LaunchSupervisor工具的運行狀態后，它就能對預先設定的應用程序活動狀態進行監控，一旦探測到它嘗試運行第三方陌生程序時，就能對其自動攔截，避免惡意程序偷偷攻擊本地計算機。用鼠標右鍵單擊系統托盤區域處的目標工具快捷圖標，選擇“Open LaunchSupervisor Control Panel”命令，選中其后界面中的“Enable LaunchSupervisor”命令（如圖8所示），啟動運行該工具的監控功能。如果要啟動運行目標工具的攔截提示功能，可以選中“Show notification”選項，這樣目標工具一旦探測到捆綁在正常程序的木馬嘗試啟動時，不但會自動對其攔截，而且還會出現提示對話框，建議用戶采取合適的安全防范措施。

按下“Internet Programs List”按鈕，切換到網絡程序列表對話框，從中選擇需要監控的程序選項，默認狀態下，目標工具已經將大量常見的網絡程序列寫出來了。如果需要監控的程序不在列表中，可以自行添加。比方說，為了避免木馬程序利用QQ工具傳播，不妨在網絡程序列表對話框底部區域輸入“qq.exe”，按下“Quick Add”按鈕，將QQ工具手工加入到網絡程序監控列表中。如此一來，當用戶嘗試在QQ聊天窗口中，啟動存在木馬的陌生文件時，目標工具就能自動對該操作進行攔截。

為了保證系統安全運行，建議大家將從網上下載獲得的應用程序，全部添加到上述網絡程序監控列表中，以防止這些程序潛藏有捆綁型木馬。倘若某個程序中真的存在木馬文件，而且當其嘗試非法運行時，目標工具就能對其自動攔截，從而禁止其趁虛而入。endprint