與木馬斗爭妙招來助力

特如

上網(wǎng)過程中，遭遇木馬程序襲擊總是不可避免，輕則會(huì)失去計(jì)算機(jī)系統(tǒng)控制權(quán)，嚴(yán)重的時(shí)候能發(fā)生重要隱私外泄，從而引起經(jīng)濟(jì)或名譽(yù)上的損失。為了減少各種不必要的損失，我們需要立即行動(dòng)起來，與木馬程序堅(jiān)決斗爭到底。

判斷是否存在木馬

倘若懷疑自己的Windows系統(tǒng)，已經(jīng)被意外感染木馬程序，而手頭恰好又沒有專門工具進(jìn)行掃描確認(rèn)時(shí)，不妨巧妙通過Windows系統(tǒng)自身的力量，來判斷木馬攻擊是否存在。

著眼帳號進(jìn)行判斷

進(jìn)入Windows系統(tǒng)的MS-DOS工作窗口，通過內(nèi)置的“net user”命令，弄清楚當(dāng)前Windows系統(tǒng)中究竟存在哪些用戶賬號，之后在命令行提示符下，執(zhí)行“net user + xxx”命令（“xxx”為陌生用戶的賬號名稱），了解陌生用戶處于哪種權(quán)限級別。

正常來說，只有用戶自己添加的賬號和系統(tǒng)自帶的administrator賬號隸屬于administrator組外，倘若看到一個(gè)Windows系統(tǒng)自帶的用戶擁有administrator組訪問權(quán)限時(shí)，那很可能意味著本地計(jì)算機(jī)已經(jīng)被木馬入侵了，而且還在本地系統(tǒng)中進(jìn)行了賬號克隆操作。為了避免安全威脅，我們可以在DOS命令行中，使用“net user xxx /del”命令，將存在可疑的用戶賬號給刪除掉，禁止木馬程序利用該陌生賬號攻擊計(jì)算機(jī)。

著眼服務(wù)進(jìn)行判斷

有些狡猾的木馬程序，往往會(huì)將自己偽裝成不易讓人發(fā)現(xiàn)的系統(tǒng)服務(wù)，所以，我們應(yīng)該定期打開系統(tǒng)服務(wù)列表界面，檢查正在運(yùn)行的系統(tǒng)服務(wù)，有哪些是不明來歷的服務(wù)。當(dāng)然，也可以進(jìn)入MS-DOS工作窗口，執(zhí)行“net start”命令，從返回的如圖1所示結(jié)果界面中，就能直觀查明有什么系統(tǒng)服務(wù)在啟動(dòng)運(yùn)行。一旦有陌生系統(tǒng)服務(wù)處于啟動(dòng)狀態(tài)時(shí)，可以執(zhí)行“net stop xxx”命令（“xxx”為陌生系統(tǒng)服務(wù)名稱），強(qiáng)行將其工作狀態(tài)停用掉。

當(dāng)然，如果想查看某個(gè)陌生系統(tǒng)服務(wù)的詳細(xì)屬性信息時(shí)，建議大家依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“services.msc”命令，切換到系統(tǒng)服務(wù)列表界，用鼠標(biāo)雙擊某個(gè)服務(wù)選項(xiàng)，在對應(yīng)選項(xiàng)設(shè)置對話框中，就能看到目標(biāo)系統(tǒng)服務(wù)的工作狀態(tài)、登錄性質(zhì)和啟動(dòng)類型等信息。

當(dāng)確認(rèn)某個(gè)陌生服務(wù)，就是木馬程序所啟動(dòng)的服務(wù)時(shí)，只要在對應(yīng)服務(wù)屬性對話框中，點(diǎn)擊“停止”按鈕，將其工作狀態(tài)強(qiáng)行停止，之后將它的啟動(dòng)類型參數(shù)選擇為“已禁用”，以避免該木馬服務(wù)日后跟隨Windows系統(tǒng)自動(dòng)啟動(dòng)運(yùn)行，確認(rèn)后保存設(shè)置操作即可。

著眼連接進(jìn)行判斷

一些木馬程序常常會(huì)占用本地計(jì)算機(jī)中的網(wǎng)絡(luò)端口，如果我們能夠?qū)indows系統(tǒng)的網(wǎng)絡(luò)端口進(jìn)行及時(shí)監(jiān)控，一旦發(fā)現(xiàn)有數(shù)值比較大的端口被占用時(shí)，那多半是木馬程序已經(jīng)感染了計(jì)算機(jī)系統(tǒng)。在查看本地計(jì)算機(jī)中所有網(wǎng)絡(luò)端口的開啟狀態(tài)時(shí)，可以依次單擊“開始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“cmd”命令并回車，切換到DOS命令行工作窗口，輸入“netstat -na”命令，單擊回車鍵后，從返回的如圖2所示結(jié)果界面中，就能直觀看到所有網(wǎng)絡(luò)端口的狀態(tài)信息，包括源地址端口號和目標(biāo)地址端口號。

尋找木馬文件蹤跡

當(dāng)確認(rèn)本地系統(tǒng)中存在木馬攻擊時(shí)，我們就需要努力將躲藏起來的木馬攻擊文件找到，并將其及時(shí)刪除掉，以避免它繼續(xù)威脅系統(tǒng)安全。考慮到木馬文件都具有隱藏屬性，只有先開啟Windows系統(tǒng)的隱藏文件顯示功能，才能方便尋找木馬文件蹤跡。在打開隱藏文件顯示功能時(shí)，只要先打開系統(tǒng)資源管理器窗口，依次點(diǎn)擊“組織”|“文件夾和搜索選項(xiàng)”命令，彈出文件夾選項(xiàng)設(shè)置框，選擇“查看”標(biāo)簽，切換到如圖3所示的標(biāo)簽設(shè)置頁面，選中“顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”選項(xiàng)，同時(shí)取消選中“隱藏受保護(hù)的操作系統(tǒng)文件”選項(xiàng)，單擊“確定”按鈕后保存設(shè)置操作。

考慮到很多木馬程序都會(huì)將自身拷貝到系統(tǒng)文件夾中，同時(shí)會(huì)添加到系統(tǒng)啟動(dòng)項(xiàng)，這是因?yàn)橐悄抉R程序不這么操作，很容易被用戶發(fā)現(xiàn)，不添加到系統(tǒng)啟動(dòng)項(xiàng)中，重新啟動(dòng)Windows系統(tǒng)后，木馬程序就不能自動(dòng)發(fā)作運(yùn)行了。所以，要想尋找木馬文件蹤跡，必須要檢查以下一些位置。

檢查啟動(dòng)文件夾

木馬將自身隱藏在系統(tǒng)啟動(dòng)文件夾中，盡管隱蔽效果不是很好，不過能方便自動(dòng)加載運(yùn)行。系統(tǒng)啟動(dòng)文件夾位置一般位于“C：＼Documents and Settings＼xxx＼開始菜單＼程序＼啟動(dòng)”，這里的“xxx”為當(dāng)前登錄用戶賬號。還有一個(gè)系統(tǒng)啟動(dòng)文件夾對所有用戶有效，無論哪種權(quán)限的用戶登錄進(jìn)入系統(tǒng)，只要將程序添加到該文件夾中，都能達(dá)到自動(dòng)啟動(dòng)目的，該啟動(dòng)文件夾位置常位于“C：＼Documents and Settings＼All Users＼開始菜單＼程序＼啟動(dòng)”。

檢查系統(tǒng)注冊表

系統(tǒng)注冊表中的許多啟動(dòng)分支下面，可以尋找到木馬文件蹤跡，所以我們應(yīng)該定期查看下面分支中的一些鍵值：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_USERS＼.DEFAULT＼Software＼Microsoft＼Windows＼CurrentVersion＼Run、HKEY_CURRENT_USER＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Windows、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon。endprint

當(dāng)然，也有一些特別的木馬程序，會(huì)將自己偽裝為系統(tǒng)服務(wù)，隱藏到系統(tǒng)注冊表中，日后它們會(huì)以系統(tǒng)服務(wù)方式發(fā)作運(yùn)行，從而給本地計(jì)算機(jī)帶來安全威脅。為了能查找到這類木馬的“身影”，我們需要打開系統(tǒng)注冊表，將鼠標(biāo)定位到HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services分支上，仔細(xì)檢查該分支下的鍵值，就能將木馬文件尋找出來了。

為了禁止木馬文件日后繼續(xù)將自身隱藏到注冊表啟動(dòng)分支中，我們可以對特定分支的編輯權(quán)限進(jìn)行控制。在進(jìn)行這種操作時(shí)，先選中目標(biāo)注冊表分支，依次選擇“編輯”|“權(quán)限”選項(xiàng)，切換到目標(biāo)分支權(quán)限編輯對話框（如圖4所示），在“組或用戶名稱”設(shè)置項(xiàng)處，將“everyone”賬號的“讀取”權(quán)限修改為“允許”，將其他權(quán)限修改為“拒絕”，再將其他一些用戶賬號全部刪除，確認(rèn)后保存設(shè)置即可。

檢查IE主頁面

有些木馬程序可能會(huì)修改IE瀏覽器主頁面，同時(shí)將惡意文件隱藏到對應(yīng)主頁面中，一旦IE瀏覽器開啟運(yùn)行時(shí)，這些狡猾的木馬程序就能自動(dòng)發(fā)作運(yùn)行。要找到這類木馬文件，可以依次檢查HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼MAIN、HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Internet Explorer＼UrlSearchHooks、HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼UrlSearchHooks等分支，通過這些分支下面的鍵值，就能找到木馬文件的詳細(xì)路徑，并及時(shí)將木馬文件刪除。

檢查系統(tǒng)文件

為了達(dá)到自動(dòng)啟動(dòng)目的，木馬程序也會(huì)悄悄修改System.ini、Win.ini等系統(tǒng)配置文件，所以檢查這類系統(tǒng)文件，或許能夠發(fā)現(xiàn)木馬文件蹤跡。打開系統(tǒng)運(yùn)行對話框，輸入“System.ini”關(guān)鍵字，單擊回車鍵后，彈出System.ini文件編輯對話框，從中找到“Boot”字段，檢查“Shell=Explorer.exe”后面是否存在“*.exe”之類的內(nèi)容，如果存在的話，那么多半是本地系統(tǒng)遭遇到了木馬程序的攻擊，而“*.exe”程序文件自然也就是惡意文件了。當(dāng)然，該配置文件中的“drivers”、“mic”、“drivers32”等字段下面，也可能潛藏有木馬文件，所以，我們也要認(rèn)真檢查這些字段內(nèi)容。

按照同樣的操作方法，打開Win.ini文件編輯對話框，檢查該文件中是否存在“run=”、“l(fā)oad=”等啟動(dòng)命令，這些命令后面默認(rèn)是空白的，如果存在其他的應(yīng)用程序，比方說存在“C：＼Windows＼Command.exe”程序時(shí)，那該程序多半就是木馬文件。

檢查文件關(guān)聯(lián)

不少木馬程序常常會(huì)通過編輯注冊表的方法，調(diào)整文件關(guān)聯(lián)設(shè)置，這樣當(dāng)用戶日后啟動(dòng)運(yùn)行txt、inf、exe格式的文件時(shí)，木馬程序就能隨之啟動(dòng)運(yùn)行。所以，要尋找這類木馬文件的蹤跡，可以先檢查系統(tǒng)注冊表中的HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command分支（如圖5所示），看看該分支下的默認(rèn)鍵值是否為“"%1" %*”，如果不是的話，那就說明exe類型文件的關(guān)聯(lián)設(shè)置被木馬程序修改了，只有將數(shù)值修改回來，才能阻止木馬程序的攻擊。同樣地，檢查HKEY_CLASSES_ROOT＼txtfile＼shell＼open＼command分支下的默認(rèn)鍵值是否為“C：＼windows＼notepad.exe %1”，檢查HKEY_CLASSES_ROOT＼inffile＼shell＼open＼command分支下的默認(rèn)鍵值是否為“%SystemRoot%＼system32＼NOTEPAD.EXE %1”，如果不正常的話，也要將它們修改回來。

檢查文件擴(kuò)展名

為了躲避普通用戶的查殺，一些狡猾的木馬程序，有時(shí)會(huì)將惡意文件圖標(biāo)，偽裝成普通文本、圖像、視頻文件的圖標(biāo)，同時(shí)將文件名稱修改為“*.txt.exe”格式，之后利用Windows系統(tǒng)默認(rèn)不顯示已知文件擴(kuò)展名的特點(diǎn)，達(dá)到隱藏目的。普通用戶在默認(rèn)狀態(tài)下，會(huì)認(rèn)為“*.txt.exe”格式的木馬文件屬于常見文本文件，不經(jīng)意間雙擊文件圖標(biāo)時(shí)，就能啟動(dòng)運(yùn)行木馬文件了。

要對付這類木馬文件，只要打開系統(tǒng)資源管理器窗口，依次點(diǎn)擊“組織”|“文件夾和搜索選項(xiàng)”命令，彈出文件夾選項(xiàng)設(shè)置框，選擇“查看”標(biāo)簽，切換到查看標(biāo)簽設(shè)置頁面，取消選中“隱藏已知文件類型的擴(kuò)展名”選項(xiàng)，單擊“確定”按鈕后保存設(shè)置操作。這樣，日后每次雙擊某個(gè)文件時(shí)，只要遇到有文件屬于“*.txt.exe”格式，那么該文件肯定是木馬文件。

檢查系統(tǒng)組策略

還有一些木馬程序隱蔽性很強(qiáng)，它們有時(shí)會(huì)將惡意文件隱藏到系統(tǒng)組策略中，讓一般用戶不能找到它們的“身影”。為了弄清楚系統(tǒng)組策略中是否存在木馬文件，我們可以依次選擇“開始”、“運(yùn)行”選項(xiàng)，在彈出的系統(tǒng)運(yùn)行對話框中，輸入“gpedit.msc”命令并回車，切換到系統(tǒng)組策略控制臺窗口，將鼠標(biāo)定位到該窗口左側(cè)列表中的“用戶配置”、“管理模板”、“系統(tǒng)”、“登錄”分支上。找到該分支下的“在用戶登錄時(shí)運(yùn)行這些程序”選項(xiàng)，并用鼠標(biāo)雙擊之，打開如圖6所示的選項(xiàng)設(shè)置框，將“已啟用”選中，同時(shí)按下“顯示”按鈕，切換到應(yīng)用程序默認(rèn)啟動(dòng)列表框。在這里應(yīng)該沒有任何應(yīng)用程序出現(xiàn)才對，一旦看到有陌生程序存在，那該陌生程序多半就是木馬程序，此時(shí)只要將它們清空刪除，再找到并刪除木馬程序源文件。

巧妙刪除木馬程序

1. 刪除常規(guī)木馬

當(dāng)采取上述措施，尋找到木馬文件的蹤跡后，就需要立即將本地計(jì)算機(jī)與網(wǎng)絡(luò)斷開，以避免木馬程序通過網(wǎng)絡(luò)對自己進(jìn)行攻擊和監(jiān)控。之后，通過已經(jīng)查找到的木馬程序名稱，搜索系統(tǒng)注冊表，尋找到相關(guān)鍵值，定位到木馬源文件在硬盤中的具體位置，手工刪除源頭木馬文件。當(dāng)發(fā)現(xiàn)某個(gè)木馬文件無法被刪除時(shí)，可以打開DOS命令行窗口，或者直接啟動(dòng)到純DOS工作狀態(tài)，執(zhí)行del命令強(qiáng)行刪除木馬文件。倘若木馬文件的屬性是系統(tǒng)的、隱藏的、只讀的，那么可以使用“attrib -s -r -h”命令，將木馬文件的屬性調(diào)整為普通屬性，再執(zhí)行刪除操作即可。endprint

2. 刪除DLL木馬

有的木馬程序會(huì)通過DLL文件來替代系統(tǒng)文件，達(dá)到既能啟動(dòng)木馬程序，又能保持原來DLL文件的功能。在刪除這類特殊木馬文件時(shí)，可以先在系統(tǒng)工作正常的情況下，進(jìn)入DOS命令行工作窗口，使用“cd”命令將當(dāng)前目錄設(shè)置為“system32”，執(zhí)行“dir *.dll > 111.txt”命令（如圖7所示），將對應(yīng)目錄下面所有的Dll文件備份到“111.txt”文件中。

日后，當(dāng)懷疑本地計(jì)算機(jī)中遇到DLL木馬襲擊時(shí)，可以按照上述操作方法，再次執(zhí)行“dir *.dll > 222.txt”命令，將感染了DLL木馬之后的所有DLL文件備份到“222.txt”文件中。之后，輸入字符串命令“fc 111.txt 222.txt > 333.txt”，單擊回車鍵后，對系統(tǒng)感染木馬前后兩次的DLL文件進(jìn)行比較，并將比較的結(jié)果保存到“333.txt”文件中。打開該文本文件，就能了解到系統(tǒng)多出了哪些DLL文件，根據(jù)文件創(chuàng)建的時(shí)間、版本等信息，就能知道哪些文件是DLL木馬文件了。進(jìn)入DLL木馬文件所在的目錄，強(qiáng)行對其執(zhí)行刪除操作，這樣就能將木馬清除干凈了。使用相同的操作方法，還可以刪除EXE木馬文件。

3. 刪除捆綁木馬

與常規(guī)木馬相比，捆綁型木馬十分狡猾，常常會(huì)和正常的應(yīng)用程序綁定在一起，讓人防不勝防。有鑒于此，我們可以使用LaunchSupervisor這款專業(yè)工具，來輕松對付捆綁型木馬，該工具是專門用于查殺使用免殺技術(shù)和與軟件捆綁技術(shù)的木馬程序或病毒。

開啟LaunchSupervisor工具的運(yùn)行狀態(tài)后，它就能對預(yù)先設(shè)定的應(yīng)用程序活動(dòng)狀態(tài)進(jìn)行監(jiān)控，一旦探測到它嘗試運(yùn)行第三方陌生程序時(shí)，就能對其自動(dòng)攔截，避免惡意程序偷偷攻擊本地計(jì)算機(jī)。用鼠標(biāo)右鍵單擊系統(tǒng)托盤區(qū)域處的目標(biāo)工具快捷圖標(biāo)，選擇“Open LaunchSupervisor Control Panel”命令，選中其后界面中的“Enable LaunchSupervisor”命令（如圖8所示），啟動(dòng)運(yùn)行該工具的監(jiān)控功能。如果要啟動(dòng)運(yùn)行目標(biāo)工具的攔截提示功能，可以選中“Show notification”選項(xiàng)，這樣目標(biāo)工具一旦探測到捆綁在正常程序的木馬嘗試啟動(dòng)時(shí)，不但會(huì)自動(dòng)對其攔截，而且還會(huì)出現(xiàn)提示對話框，建議用戶采取合適的安全防范措施。

按下“Internet Programs List”按鈕，切換到網(wǎng)絡(luò)程序列表對話框，從中選擇需要監(jiān)控的程序選項(xiàng)，默認(rèn)狀態(tài)下，目標(biāo)工具已經(jīng)將大量常見的網(wǎng)絡(luò)程序列寫出來了。如果需要監(jiān)控的程序不在列表中，可以自行添加。比方說，為了避免木馬程序利用QQ工具傳播，不妨在網(wǎng)絡(luò)程序列表對話框底部區(qū)域輸入“qq.exe”，按下“Quick Add”按鈕，將QQ工具手工加入到網(wǎng)絡(luò)程序監(jiān)控列表中。如此一來，當(dāng)用戶嘗試在QQ聊天窗口中，啟動(dòng)存在木馬的陌生文件時(shí)，目標(biāo)工具就能自動(dòng)對該操作進(jìn)行攔截。

為了保證系統(tǒng)安全運(yùn)行，建議大家將從網(wǎng)上下載獲得的應(yīng)用程序，全部添加到上述網(wǎng)絡(luò)程序監(jiān)控列表中，以防止這些程序潛藏有捆綁型木馬。倘若某個(gè)程序中真的存在木馬文件，而且當(dāng)其嘗試非法運(yùn)行時(shí)，目標(biāo)工具就能對其自動(dòng)攔截，從而禁止其趁虛而入。endprint