个人用户木马病毒的防范与清除

李　强

摘要：通过对木马病毒主要特点及作用方式的分析，有针对性的提出了个人用户在日常电脑使用中的注意事项，并针对木马病毒感染电脑后的主要特征给出应对方法。推荐了killbox、hijackthis等几种手工清除木马病毒的常用工具，介绍了在电脑中毒后常见问题的解决办法。

关键词：木马；防范；清除

中图法分类号：TP309.05文献标识码：A文章编号：1009-3044(2008)01-10ppp-0c

Prevention and Elimination of Trojan Horse for Individual Users

LI Qiang

（Ningbo Shengli Convention and Exhibition Service Center）

Abstract: Through analysis of main characters and acting way of Trojan horses, I accordingly put forward attentions in daily individual computer use as well as anti-virus methods according to the main features when computers are attacked by Trojans. In addition, in this article I recommend commonly-used tools to eliminate the Trojans by hand such as killbox and hijackthis, and introduce solutions of frequent-asked questions found in virus attacked computers.

Key words: Trojan Horse; Prevention; Elimination

随着网络技术的飞速发展，黑客攻防战越来越多的浮上水面. 人们在享受互联网络带来的惬意与便利的同时，也不时要面对众多电脑病毒,尤其是木马病毒的威胁. 近年来网络安全事件层出不穷。毫不夸张地说，只要你上网，就身处危险之中！由于木马病毒具有远程控制机器以及捕获屏幕、键盘输入、音频、视频的能力，所以其危害程度要远远超过普通病毒。只有深入了解木马病毒的运行原理，在此基础上采取正确的防卫措施，才能有效减少木马病毒带来的危害。

1 木马病毒的基础知识

木马病毒的“木马”二字，源自于“特洛伊木马”（Trojan Horse）。据说在公元前12世纪，古希腊大军围攻特洛伊城，久攻不下。后希腊人藏身在木马内进入了特洛伊城，为希腊军队打开了城门，进而获得了战争的胜利。。后世称这只大木马为“特洛伊木马”。在计算机领域里，又被解释为非法命令，指采用不为人知的方法潜入到对方计算机内部实施某种破坏(盗窃)行为。

木马病毒的主要特点是：具有自我复制和自行执行性，窃取机密和远程控制。主要有以下几个特征：

1)包含于正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性。

由于木马所从事的是 "地下工作"，因此它会想尽一切办法不让你发现它。例如大家所熟悉木马修改注册表和文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件，当人们在使用绑定的程序同时，木马也入侵了系统。甚至有个别木马程序能把它自身注入系统进程。

2)具有自动运行性。

木马为了控制服务端在系统启动时即跟随启动，所以它会潜入你的启动配置文件，如win.ini、system.ini以及启动组等文件之中。

3)包含具有未公开并且可能产生危险后果功能的程序。

4)具备自动恢复功能。

现在很多的木马程序中的功能模块已不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，或终止了一个病毒进程以后，它又会悄然出现。像幽灵一样，防不胜防。

5)能自动打开特别的端口。

木马程序潜入你的电脑之中的目的主要不是为了破坏你的系统，而是为了获取你的系统中有用的信息，当你上网时木马程序就会用服务器客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施进一步的入侵企图。每台电脑可以有65535个端口，但我们常用的只有少数几个，木马经常利用我们不大用的这些端口进行连接，大开方便之“门”。

6)功能的特殊性。

通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、进行键盘记录、远程注册表的操作以及远程控制等功能。现在很多新的木马病毒，感染电脑以后就关闭电脑中的病毒防火墙或干扰杀毒软件的正常运行，然后在后台下载更多的病毒到电脑中。

2 木马病毒的防范

2.1 为自己挑选一款信得过的杀毒软件

目前市面上的杀毒软件如卡巴斯基（Kaspersky）、江民（KV）、瑞星（RAV）、金山毒霸（KAV）、麦咖啡（MACFEE）等一般都自带病毒防火墙。选择一款正版杀毒软件，并定期做好病毒库的升级（最好能做到每天更新，推荐使用每日定时更新），能有效地保护我们的电脑免受病毒的侵害。

2.2 及时更新操作系统补丁程序

微软公司的Windows系列操作系统，以其系统功能完善和界面友好易用、吸引了大批的家庭用户和普通办公用户。目前被广泛使用的Windows XP操作系统可以说是一个专门为网络应用而诞生的操作系统，在网络功能方面比以往的操作系统有了明显的增强。但同时XP操作系统也被发现存在许多网络漏洞，其中的部分漏洞已经被黑客利用作为新的攻击手段。因为我们要经常登陆微软的官方网站（http://www.microsoft.com/zh/cn/default.aspx）或正规的软件站点更新安装各种漏洞补丁。

2.3 严格执行设定密码保护政策

在安装操作系统的时候，一定要注意设定管理员帐号（administrator）密码，并妥善保管。对于账号或邮箱密码的设定，密码设定不要过于简单。密码以8-10位英文字母与数字混合为宜，尽量不要用属于个人的信息或完整的英文单词来创建密码，如果能在密码中加入符号则安全性更高。

2.4 养成良好的上网习惯

A.浏览网页和下载软件尽量去安全的网站, 特别留神伪装或者可疑的链接；现在有些网页中就包含有病毒代码，利用系统的漏洞在我们浏览网页时偷偷侵入我们的电脑。B.不要随便执行别人发给你的可执行文件。可执行文件，特别是EXE文件，同时还要注意.com/.scr/.vbs/.reg/.pif/.chm文件等。对于可执行文件，建议在工具夹选项的查看中去掉“隐藏已知文件类型的扩展名”。尤其要小心看上去有双重后缀名的，例如 重要文件.doc.scr这样的文件。C.不要随便安装插件。插件可以操作你电脑里的很多东西，随便安装插件就等于让别人随意控制你的电脑。对于不够信任的站点，最好不要安装插件。

2.5 选择合适的网络安全辅助软件

在与各种恶意软件和木马病毒的斗争中，各大安全厂商相继推出了清除恶意软件的网络安全辅助软件。这样软件不但能清理恶意软件，还集成了一部分安全相关的功能。目前比较常见的有360安全卫士、瑞星卡卡、金山清理专家、超级兔子网络卫士和超级巡警。我们可以选择一款自己使用起来比较顺手的网络安全辅助软件，使我们的电脑安全得到近一步的保障。

3 如何判断电脑是否中了木马病毒

在我们在电脑的日常使用过程中，如果出现以下的情况，那么我们最好检查一下系统是否感染了木马病毒。

1)杀毒软件无法正常工作，病毒防火墙或网络防火墙无法正常启动。

2)电脑磁盘分区（包括硬盘、U盘和移动硬盘）无法用鼠标左键双击打开。

3)电脑响应速度下降，没有运行什么程序，但系统资源占用很高。

4)自己未对电脑进行操作，但硬盘灯却闪个不停。

5)浏览器突然自己打开，并且进入某个网站。或者在你上网时，不断弹出来一些广告窗口或网页。

6)操作电脑时，突然一个警告框或者是询问框弹出来，但其内容或提到的程序与目前操作没有任何关系。

7)上网的时候无缘无故蓝屏，电脑被关闭或者重启。

8)键盘鼠标经常不听指挥，各种保密信息，包括密码甚至上网帐号丢失。

当我们怀疑自己的电脑中了木马病毒时，我们可以先用以下几种常用的方法来检查。

1)点击“开始”->“运行”-> “msconfig”，先看一下启动选项中是否加载了一些可疑的启动项目，尤其是命令中写明文件位置在系统安装目录及其system、system32子目录下的文件。

2)点击“开始”->“运行”-> “regedit”,打开注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent Version这个键值，看看Run后面有没有什么奇怪的键值。由于注册表的特殊性，建议大家在进行注册表修改之前一定要对注册表进行备份，以防修改过程误操作引起系统故障。

3)打开任务管理器，通过检查系统进程来发现木马。发现可疑进程就结束它，如果有一个程序我们反复结束都会又自动运行起来的话就值得我们注意了。

4 木马病毒的查杀

一旦我们的电脑中了木马病毒，我们有2种清除病毒的方法。一是使用杀毒软件或木马专杀工具来帮忙；二是靠自己手工来清除。

4.1 利用工具查杀木马病毒:

工具有专业的杀毒软件和木马专杀工具之分。杀毒软件大家都很熟悉，有：金山毒霸，瑞星，卡巴斯基，麦咖啡，江民等一些优秀的杀毒软件。针对特定的木马病毒，推出木马专杀程序。大家只要下载对应的程序就能帮助我们查杀病毒。另一种是木马专杀工具，他们往往具有查杀多种木马病毒的功能。如：木马终结者（V8.03）、木马克星2008、特洛伊木马专杀工具（Trojan Remover ）等。由于木马病毒层出不穷，下载木马专杀工具最好选用最新的版本，这样才能保证有效查杀。

4.2 手工清除木马病毒

但是工具查杀也有其局限性。一旦电脑已经被病毒感染，有时杀毒软件就无法正常工作，甚至上网搜索相关病毒信息和下载木马专杀工具都不能正常进行。这时我们只能使用手工清除木马病毒。在手工清除木马病毒后，最好再用杀毒软件对电脑进行一次彻底扫描，以防还有漏网之鱼。

4.2.1 查杀双进程木马

这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。

调出Windows任务管理器，首先在“查看→选择列”中勾选“PID（进程标识符）”，这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。本例中：木马进程为“system.exe”，终止它后再刷新，它又会复活。进入安全模式把病毒文件system.exe删除，重启后它又会重新加载，无法彻底清除。我们可以启动命令提示符窗口，执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令如图1，可以看到这次终止的system.exe进程的PID为1356，它属于PID为676的某个进程。也就是说PID为1356的system.exe进程是由PID为676的进程创建的。返回任务管理器，通过查询进程PID得知它就是“wind0ws”进程进程。（如图）

图1 显示木马程序的PID

然后我们重新启动系统进入安全模式，使用搜索功能找到木马文件wind0ws.exe 和system.exe，将它们删除即可。

4.2.2 使木马病毒失效并删除

木马病毒感染电脑后。为了达到自动启动的目的，往往会进行修改注册表、注入系统进程等多种修改。如果我们要手工把这些修改都还原比较费时费力，而且对操作者的电脑水平有一定的要求。在我们确定某个病毒文件以后，可以请记事本来帮忙，使木马病毒不能正常工作。

第一步：启动命令提示符，输入“ftype exefile=notepad.exe %1”，把所有EXE程序打开方式关联到记事本程序，重启系统后我们会发现桌面自动启动好几个程序，这里包括系统正常程序等。

第二步：根据记事本窗口标题找到病毒程序，比如上例的system.exe和wind0ws.exe程序，找到这个记事本窗口后，单击“文件→另存为”，我们就可以 看到病毒具体路径在“C:＼Windows＼System32”下。现在关掉记事本窗口，按上述路径提示进入系统目录删除病毒即可。

第三步：删除病毒后就可以删除病毒启动键值了，接着重启电脑，按住F8，然后在安全模式菜单选择“带命令提示的安全模式”，进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。

4.2.3 注册表映像劫持阻止病毒运行

IFEO技术通俗的讲法是映像劫持，利用注册表中的如下键值HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options位置来改变程序调用，而有些木马病毒就利用此处将正常的软件给偷换成病毒程序。我们也可以“以其人之道还治其人之身”，利用此处来让病毒木马失效。下面我们以屏蔽winnet.exe为例，操作方法如下：

第一步：先建立一个文本文件，输入以下内容，另存为fix.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼winnet.exe]

"Debugger"="d:＼＼aaa.exe"

(注：第一行代码下有空行。)

第二步：我们在D盘上创建一个文本文件后将文件名改为aaa.exe

第三步：双击将该reg文件导入注册表。

完成以上操作，winnet.exe就不能正常运行了。这样重启电脑进入安全模式后就可以手工清除或用杀毒软件查杀了。

4.2.4 手工清除木马病毒的辅助工具及常见问题解决办法

"工欲善其事 必先利其器",在我们开始手工清除木马之前，可以选择几款实用的工具软件，帮助我们更顺利地完成我们的工作。

1)强力删除工具：这里我们选用的是Pocket KillBox 2.0.0.978 beta 汉化版（下载地址：http://www.onlinedown.net/soft/44561.htm）。killbox是一款小巧的可删除硬盘中任意文件的小工具。主要用途就是清除那些正在运行而无法删除的文件(类似病毒、木马什么的)。除此之外，软件另外带了清理系统垃圾文件，进程管理，调用资源管理器和注册表， 查看系统服务，文件查找等多个功能。

图2 killbox操作界面

2)系统进程扫描程序：Trend Micro HijackThis 2.0.0 汉化版（下载地址：http://www.onlinedown.net/soft/36689.htm）。HijackThis能够扫描注册表和硬盘上的特定文件，找到一些恶意程序“劫持”浏览器的入口。特别是显示系统启动时加载的文件名称和调用文件的方式和路径，帮助我们发现可疑文件。

图3 hijackthis用户界面

3)注册表修复工具: 瑞星注册表修复工具3.0 可以帮助我们修复默认主页被无故更改，并且在IE工具栏内被屏蔽了修改功能、注册表编辑器被告知“已锁定”，从而无法修改注册表等情况。

图4 瑞星修复工具界面

下载地址: http://it.rising.com.cn/channels/service/2006-07/1153121959d22615.shtml

4)常见问题及解决办法

A.exe文件打不开怎么办？

一种方法是重启电脑，在出现“正在启动Windows…”时按F8键，选择“带命令行提示的安全模式”选项，接着输入“assoc .exe=exefile(assoc与.exe之间有一空格)并回车，屏幕显示“.exe=exefile”。重新启动电脑，进入windows系统后进行如下操作：

开始->运行->输入"cmd"，回车

在命令行中，依次执行以下命令：

ftype exefile="%1" %* （注：包含引号）

assoc .exe=exefile

然后重启电脑

B.“隐藏受保护的系统文件”选项框失踪了？

只要把以下代码复制到记事本里保存为show.reg再点击运行即可。

Windows Registry Editor Version 5.00

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼Ｈｉｄｄｅｎ＼ＮＯＨＩＤＤＥＮ］

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼Ｈｉｄｄｅｎ＼ＳＨＯＷＡＬＬ］

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼ＳｕｐｅｒＨｉｄｄｅｎ］

"Type"="checkbox"

"Text"="@shell32.dll,-30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51103"

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼ＳｕｐｅｒＨｉｄｄｅｎ＼Ｐｏｌｉｃｙ］

［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼ＳｕｐｅｒＨｉｄｄｅｎ＼Ｐｏｌｉｃｙ＼ＤｏｎｔＳｈｏｗＳｕｐｅｒＨｉｄｄｅｎ］

@=""

C.为什么Windows XP无法进入安全模式?

引起XP操作系统无法进入安全模式的原因，主要是由于病毒恶意修改了注册表中的信息。修复注册表的reg文件可以到http://bbs.duba.net/attachment.php?aid=16078149下载。只要将正确的注册表信息重新导入，系统的安全模式就能恢复正常。

结语：由于篇幅有限，本文也只能对木马病毒防杀做一个简单的介绍。所谓“请神容易送神难”，要想保护电脑免受木马病毒的侵害，还是要靠大家在平时的电脑使用过程中，提高安全意识，养成良好的操作习惯，才能做到防患于未然。

参考文献：

[1] 庄小妹.木马的入侵检测技术和清除方法[J].内江科技,2006(7):133-134.

[2] 凌循.木马病毒的分析与防治[J].电脑知识与技术(学术交流),2007(7).

[3] 王战浩.木马攻击与防范技术研究[D].上海交通大学,2007.

[4] 陈熔.木马病毒分析及其防治方法[J].农业网络信息,2006(5).

收稿日期：

作者简介：李强（1977－），男，浙江省宁波市人，助理工程师，研究方向为计算机网络技术。