個人用戶木馬病毒的防范與清除

李　強

摘要：通過對木馬病毒主要特點及作用方式的分析，有針對性的提出了個人用戶在日常電腦使用中的注意事項，并針對木馬病毒感染電腦后的主要特征給出應對方法。推薦了killbox、hijackthis等幾種手工清除木馬病毒的常用工具，介紹了在電腦中毒后常見問題的解決辦法。

關鍵詞：木馬；防范；清除

中圖法分類號：TP309.05文獻標識碼：A文章編號：1009-3044(2008)01-10ppp-0c

Prevention and Elimination of Trojan Horse for Individual Users

LI Qiang

（Ningbo Shengli Convention and Exhibition Service Center）

Abstract: Through analysis of main characters and acting way of Trojan horses, I accordingly put forward attentions in daily individual computer use as well as anti-virus methods according to the main features when computers are attacked by Trojans. In addition, in this article I recommend commonly-used tools to eliminate the Trojans by hand such as killbox and hijackthis, and introduce solutions of frequent-asked questions found in virus attacked computers.

Key words: Trojan Horse; Prevention; Elimination

隨著網絡技術的飛速發展，黑客攻防戰越來越多的浮上水面. 人們在享受互聯網絡帶來的愜意與便利的同時，也不時要面對眾多電腦病毒,尤其是木馬病毒的威脅. 近年來網絡安全事件層出不窮。毫不夸張地說，只要你上網，就身處危險之中！由于木馬病毒具有遠程控制機器以及捕獲屏幕、鍵盤輸入、音頻、視頻的能力，所以其危害程度要遠遠超過普通病毒。只有深入了解木馬病毒的運行原理，在此基礎上采取正確的防衛措施，才能有效減少木馬病毒帶來的危害。

1 木馬病毒的基礎知識

木馬病毒的“木馬”二字，源自于“特洛伊木馬”（Trojan Horse）。據說在公元前12世紀，古希臘大軍圍攻特洛伊城，久攻不下。后希臘人藏身在木馬內進入了特洛伊城，為希臘軍隊打開了城門，進而獲得了戰爭的勝利。。后世稱這只大木馬為“特洛伊木馬”。在計算機領域里，又被解釋為非法命令，指采用不為人知的方法潛入到對方計算機內部實施某種破壞(盜竊)行為。

木馬病毒的主要特點是：具有自我復制和自行執行性，竊取機密和遠程控制。主要有以下幾個特征：

1)包含于正常程序中，當用戶執行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性。

由于木馬所從事的是 "地下工作"，因此它會想盡一切辦法不讓你發現它。例如大家所熟悉木馬修改注冊表和文件以便機器在下一次啟動后仍能載入木馬程式，它不是自己生成一個啟動程序，而是依附在其他程序之中。有些木馬把服務器端和正常程序綁定成一個程序的軟件，當人們在使用綁定的程序同時，木馬也入侵了系統。甚至有個別木馬程序能把它自身注入系統進程。

2)具有自動運行性。

木馬為了控制服務端在系統啟動時即跟隨啟動，所以它會潛入你的啟動配置文件，如win.ini、system.ini以及啟動組等文件之中。

3)包含具有未公開并且可能產生危險后果功能的程序。

4)具備自動恢復功能。

現在很多的木馬程序中的功能模塊已不再由單一的文件組成，而是具有多重備份，可以相互恢復。當你刪除了其中的一個，或終止了一個病毒進程以后，它又會悄然出現。像幽靈一樣，防不勝防。

5)能自動打開特別的端口。

木馬程序潛入你的電腦之中的目的主要不是為了破壞你的系統，而是為了獲取你的系統中有用的信息，當你上網時木馬程序就會用服務器客戶端的通訊手段把信息告訴黑客們，以便黑客們控制你的機器，或實施進一步的入侵企圖。每臺電腦可以有65535個端口，但我們常用的只有少數幾個，木馬經常利用我們不大用的這些端口進行連接，大開方便之“門”。

6)功能的特殊性。

通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設置口令、進行鍵盤記錄、遠程注冊表的操作以及遠程控制等功能?，F在很多新的木馬病毒，感染電腦以后就關閉電腦中的病毒防火墻或干擾殺毒軟件的正常運行，然后在后臺下載更多的病毒到電腦中。

2 木馬病毒的防范

2.1 為自己挑選一款信得過的殺毒軟件

目前市面上的殺毒軟件如卡巴斯基（Kaspersky）、江民（KV）、瑞星（RAV）、金山毒霸（KAV）、麥咖啡（MACFEE）等一般都自帶病毒防火墻。選擇一款正版殺毒軟件，并定期做好病毒庫的升級（最好能做到每天更新，推薦使用每日定時更新），能有效地保護我們的電腦免受病毒的侵害。

2.2 及時更新操作系統補丁程序

微軟公司的Windows系列操作系統，以其系統功能完善和界面友好易用、吸引了大批的家庭用戶和普通辦公用戶。目前被廣泛使用的Windows XP操作系統可以說是一個專門為網絡應用而誕生的操作系統，在網絡功能方面比以往的操作系統有了明顯的增強。但同時XP操作系統也被發現存在許多網絡漏洞，其中的部分漏洞已經被黑客利用作為新的攻擊手段。因為我們要經常登陸微軟的官方網站（http://www.microsoft.com/zh/cn/default.aspx）或正規的軟件站點更新安裝各種漏洞補丁。

2.3 嚴格執行設定密碼保護政策

在安裝操作系統的時候，一定要注意設定管理員帳號（administrator）密碼，并妥善保管。對于賬號或郵箱密碼的設定，密碼設定不要過于簡單。密碼以8-10位英文字母與數字混合為宜，盡量不要用屬于個人的信息或完整的英文單詞來創建密碼，如果能在密碼中加入符號則安全性更高。

2.4 養成良好的上網習慣

A.瀏覽網頁和下載軟件盡量去安全的網站, 特別留神偽裝或者可疑的鏈接；現在有些網頁中就包含有病毒代碼，利用系統的漏洞在我們瀏覽網頁時偷偷侵入我們的電腦。B.不要隨便執行別人發給你的可執行文件?？蓤绦形募?，特別是EXE文件，同時還要注意.com/.scr/.vbs/.reg/.pif/.chm文件等。對于可執行文件，建議在工具夾選項的查看中去掉“隱藏已知文件類型的擴展名”。尤其要小心看上去有雙重后綴名的，例如 重要文件.doc.scr這樣的文件。C.不要隨便安裝插件。插件可以操作你電腦里的很多東西，隨便安裝插件就等于讓別人隨意控制你的電腦。對于不夠信任的站點，最好不要安裝插件。

2.5 選擇合適的網絡安全輔助軟件

在與各種惡意軟件和木馬病毒的斗爭中，各大安全廠商相繼推出了清除惡意軟件的網絡安全輔助軟件。這樣軟件不但能清理惡意軟件，還集成了一部分安全相關的功能。目前比較常見的有360安全衛士、瑞星卡卡、金山清理專家、超級兔子網絡衛士和超級巡警。我們可以選擇一款自己使用起來比較順手的網絡安全輔助軟件，使我們的電腦安全得到近一步的保障。

3 如何判斷電腦是否中了木馬病毒

在我們在電腦的日常使用過程中，如果出現以下的情況，那么我們最好檢查一下系統是否感染了木馬病毒。

1)殺毒軟件無法正常工作，病毒防火墻或網絡防火墻無法正常啟動。

2)電腦磁盤分區（包括硬盤、U盤和移動硬盤）無法用鼠標左鍵雙擊打開。

3)電腦響應速度下降，沒有運行什么程序，但系統資源占用很高。

4)自己未對電腦進行操作，但硬盤燈卻閃個不停。

5)瀏覽器突然自己打開，并且進入某個網站?；蛘咴谀闵暇W時，不斷彈出來一些廣告窗口或網頁。

6)操作電腦時，突然一個警告框或者是詢問框彈出來，但其內容或提到的程序與目前操作沒有任何關系。

7)上網的時候無緣無故藍屏，電腦被關閉或者重啟。

8)鍵盤鼠標經常不聽指揮，各種保密信息，包括密碼甚至上網帳號丟失。

當我們懷疑自己的電腦中了木馬病毒時，我們可以先用以下幾種常用的方法來檢查。

1)點擊“開始”->“運行”-> “msconfig”，先看一下啟動選項中是否加載了一些可疑的啟動項目，尤其是命令中寫明文件位置在系統安裝目錄及其system、system32子目錄下的文件。

2)點擊“開始”->“運行”-> “regedit”,打開注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent Version這個鍵值，看看Run后面有沒有什么奇怪的鍵值。由于注冊表的特殊性，建議大家在進行注冊表修改之前一定要對注冊表進行備份，以防修改過程誤操作引起系統故障。

3)打開任務管理器，通過檢查系統進程來發現木馬。發現可疑進程就結束它，如果有一個程序我們反復結束都會又自動運行起來的話就值得我們注意了。

4 木馬病毒的查殺

一旦我們的電腦中了木馬病毒，我們有2種清除病毒的方法。一是使用殺毒軟件或木馬專殺工具來幫忙；二是靠自己手工來清除。

4.1 利用工具查殺木馬病毒:

工具有專業的殺毒軟件和木馬專殺工具之分。殺毒軟件大家都很熟悉，有：金山毒霸，瑞星，卡巴斯基，麥咖啡，江民等一些優秀的殺毒軟件。針對特定的木馬病毒，推出木馬專殺程序。大家只要下載對應的程序就能幫助我們查殺病毒。另一種是木馬專殺工具，他們往往具有查殺多種木馬病毒的功能。如：木馬終結者（V8.03）、木馬克星2008、特洛伊木馬專殺工具（Trojan Remover ）等。由于木馬病毒層出不窮，下載木馬專殺工具最好選用最新的版本，這樣才能保證有效查殺。

4.2 手工清除木馬病毒

但是工具查殺也有其局限性。一旦電腦已經被病毒感染，有時殺毒軟件就無法正常工作，甚至上網搜索相關病毒信息和下載木馬專殺工具都不能正常進行。這時我們只能使用手工清除木馬病毒。在手工清除木馬病毒后，最好再用殺毒軟件對電腦進行一次徹底掃描，以防還有漏網之魚。

4.2.1 查殺雙進程木馬

這種木馬有監護進程，會定時進行掃描，一旦發現被監護的進程遭到查殺就會復活它。而且現在很多雙進程木馬互為監視，互相復活。因此查殺的關鍵是找到這“互相依靠”的兩個木馬文件。借助任務管理器的PID標識可以找到木馬進程。

調出Windows任務管理器，首先在“查看→選擇列”中勾選“PID（進程標識符）”，這樣返回任務管理器窗口后可以看到每一個進程的PID標識。這樣當我們終止一個進程，它再生后通過PID標識就可以找到再生它的父進程。本例中：木馬進程為“system.exe”，終止它后再刷新，它又會復活。進入安全模式把病毒文件system.exe刪除，重啟后它又會重新加載，無法徹底清除。我們可以啟動命令提示符窗口，執行“taskkill /im system.exe /f”命令。刷新一下電腦后重新輸入上述命令如圖1，可以看到這次終止的system.exe進程的PID為1356，它屬于PID為676的某個進程。也就是說PID為1356的system.exe進程是由PID為676的進程創建的。返回任務管理器，通過查詢進程PID得知它就是“wind0ws”進程進程。（如圖）

圖1 顯示木馬程序的PID

然后我們重新啟動系統進入安全模式，使用搜索功能找到木馬文件wind0ws.exe 和system.exe，將它們刪除即可。

4.2.2 使木馬病毒失效并刪除

木馬病毒感染電腦后。為了達到自動啟動的目的，往往會進行修改注冊表、注入系統進程等多種修改。如果我們要手工把這些修改都還原比較費時費力，而且對操作者的電腦水平有一定的要求。在我們確定某個病毒文件以后，可以請記事本來幫忙，使木馬病毒不能正常工作。

第一步：啟動命令提示符，輸入“ftype exefile=notepad.exe %1”，把所有EXE程序打開方式關聯到記事本程序，重啟系統后我們會發現桌面自動啟動好幾個程序，這里包括系統正常程序等。

第二步：根據記事本窗口標題找到病毒程序，比如上例的system.exe和wind0ws.exe程序，找到這個記事本窗口后，單擊“文件→另存為”，我們就可以 看到病毒具體路徑在“C:＼Windows＼System32”下?，F在關掉記事本窗口，按上述路徑提示進入系統目錄刪除病毒即可。

第三步：刪除病毒后就可以刪除病毒啟動鍵值了，接著重啟電腦，按住F8，然后在安全模式菜單選擇“帶命令提示的安全模式”，進入系統后會自動打開命令提示符。輸入“ftype exefile="%1"%*”恢復exe文件打開方式即可。

4.2.3 注冊表映像劫持阻止病毒運行

IFEO技術通俗的講法是映像劫持，利用注冊表中的如下鍵值HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options位置來改變程序調用，而有些木馬病毒就利用此處將正常的軟件給偷換成病毒程序。我們也可以“以其人之道還治其人之身”，利用此處來讓病毒木馬失效。下面我們以屏蔽winnet.exe為例，操作方法如下：

第一步：先建立一個文本文件，輸入以下內容，另存為fix.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼winnet.exe]

"Debugger"="d:＼＼aaa.exe"

(注：第一行代碼下有空行。)

第二步：我們在D盤上創建一個文本文件后將文件名改為aaa.exe

第三步：雙擊將該reg文件導入注冊表。

完成以上操作，winnet.exe就不能正常運行了。這樣重啟電腦進入安全模式后就可以手工清除或用殺毒軟件查殺了。

4.2.4 手工清除木馬病毒的輔助工具及常見問題解決辦法

"工欲善其事 必先利其器",在我們開始手工清除木馬之前，可以選擇幾款實用的工具軟件，幫助我們更順利地完成我們的工作。

1)強力刪除工具：這里我們選用的是Pocket KillBox 2.0.0.978 beta 漢化版（下載地址：http://www.onlinedown.net/soft/44561.htm）。killbox是一款小巧的可刪除硬盤中任意文件的小工具。主要用途就是清除那些正在運行而無法刪除的文件(類似病毒、木馬什么的)。除此之外，軟件另外帶了清理系統垃圾文件，進程管理，調用資源管理器和注冊表， 查看系統服務，文件查找等多個功能。

圖2 killbox操作界面

2)系統進程掃描程序：Trend Micro HijackThis 2.0.0 漢化版（下載地址：http://www.onlinedown.net/soft/36689.htm）。HijackThis能夠掃描注冊表和硬盤上的特定文件，找到一些惡意程序“劫持”瀏覽器的入口。特別是顯示系統啟動時加載的文件名稱和調用文件的方式和路徑，幫助我們發現可疑文件。

圖3 hijackthis用戶界面

3)注冊表修復工具: 瑞星注冊表修復工具3.0 可以幫助我們修復默認主頁被無故更改，并且在IE工具欄內被屏蔽了修改功能、注冊表編輯器被告知“已鎖定”，從而無法修改注冊表等情況。

圖4 瑞星修復工具界面

下載地址: http://it.rising.com.cn/channels/service/2006-07/1153121959d22615.shtml

4)常見問題及解決辦法

A.exe文件打不開怎么辦？

一種方法是重啟電腦，在出現“正在啟動Windows…”時按F8鍵，選擇“帶命令行提示的安全模式”選項，接著輸入“assoc .exe=exefile(assoc與.exe之間有一空格)并回車，屏幕顯示“.exe=exefile”。重新啟動電腦，進入windows系統后進行如下操作：

開始->運行->輸入"cmd"，回車

在命令行中，依次執行以下命令：

ftype exefile="%1" %* （注：包含引號）

assoc .exe=exefile

然后重啟電腦

B.“隱藏受保護的系統文件”選項框失蹤了？

只要把以下代碼復制到記事本里保存為show.reg再點擊運行即可。

Windows Registry Editor Version 5.00

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼Ｈｉｄｄｅｎ＼ＮＯＨＩＤＤＥＮ］

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼Ｈｉｄｄｅｎ＼ＳＨＯＷＡＬＬ］

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼ＳｕｐｅｒＨｉｄｄｅｎ］

"Type"="checkbox"

"Text"="@shell32.dll,-30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51103"

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼ＳｕｐｅｒＨｉｄｄｅｎ＼Ｐｏｌｉｃｙ］

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼ＳｕｐｅｒＨｉｄｄｅｎ＼Ｐｏｌｉｃｙ＼ＤｏｎｔＳｈｏｗＳｕｐｅｒＨｉｄｄｅｎ］

@=""

C.為什么Windows XP無法進入安全模式?

引起XP操作系統無法進入安全模式的原因，主要是由于病毒惡意修改了注冊表中的信息。修復注冊表的reg文件可以到http://bbs.duba.net/attachment.php?aid=16078149下載。只要將正確的注冊表信息重新導入，系統的安全模式就能恢復正常。

結語：由于篇幅有限，本文也只能對木馬病毒防殺做一個簡單的介紹。所謂“請神容易送神難”，要想保護電腦免受木馬病毒的侵害，還是要靠大家在平時的電腦使用過程中，提高安全意識，養成良好的操作習慣，才能做到防患于未然。

參考文獻：

[1] 莊小妹.木馬的入侵檢測技術和清除方法[J].內江科技,2006(7):133-134.

[2] 凌循.木馬病毒的分析與防治[J].電腦知識與技術(學術交流),2007(7).

[3] 王戰浩.木馬攻擊與防范技術研究[D].上海交通大學,2007.

[4] 陳熔.木馬病毒分析及其防治方法[J].農業網絡信息,2006(5).

收稿日期：

作者簡介：李強（1977－），男，浙江省寧波市人，助理工程師，研究方向為計算機網絡技術。