手工查殺木馬病毒 作網絡安全高手

　　木馬的出現讓我們損失的不僅僅是電腦控制權，更多的是隱私、金錢甚至是名譽。防范木馬已經成為安全領域中最重要的問題之一。可目前各大殺毒廠商還停止在病毒庫查殺的方式上，讓我們總是慢木馬一步。而動辄手工清除木馬的教程都要幾大篇，其實只要我們具備一些基本的安全知識，完全可以防住木馬攻擊。

一、認識木馬

從本質上說，木馬就是一種遠程控制軟件。不過遠程控制軟件也有分類。一般來說就是名正言順的幫你遠程管理和設置電腦的軟件，如Windows XP自帶的遠程協助功能，這類軟件在運行時，都會在系統任務欄中出現，明確的告訴用戶當前系統處於被控制狀態；而木馬則會偷偷潛入你的電腦進行破壞，並通過修改注冊表、捆綁在正常程序上的方式運行，使你難覓其蹤跡。

一般一台個人用的系統在開機後最多只有137、138、139三個端口。若上網沖浪會有其他端口，這是本機與網上主機通訊時打開的，IE一般會打開連續的端口:1025，1026，1027等，QQ會打開4000、4001……等端口，我們可以使用netstat -an命令查看系統當前的端口狀態。

netstat -an命令查看系統當前的端口狀態

木馬與普通遠程控制軟件另外一個不同點在於，木馬實現的遠程控制功能更為豐富，其不僅能夠實現一般遠程控制軟件的功能，還可以破壞系統文件、記錄鍵盤動作、盜取密碼、修改注冊表和限制系統功能等。而且你還可能成為養馬者的幫凶，養馬者還可能會使用你的機器去攻擊別人，讓你來背黑鍋。

二、木馬傳播途徑

一般來說，木馬會通過以下幾種方式傳播：

最常見的就是利用聊天軟件，例如你的QQ好友中了某種木馬，這個木馬很有可能在好友的機器上運行QQ，並發一條消息給你，誘使你打開某個鏈接或運行某個程序，如果你不慎點擊或運行，木馬就會偷偷跑進來。

另外一種流行的方法是文件捆綁，如與圖片文件捆綁，當你浏覽圖片的時候，木馬也會偷偷溜達進來；網頁裡養馬也是一種常見的方法，黑客把做好的木馬放到網頁上，並誘使你打開，你只要浏覽這個頁面就可能中招。

最後一種常用方法是網吧種植，網吧的機器安全性差，黑客還可以直接在機器上做手腳，所以網吧中帶馬的機器很多。在網吧上網時受到木馬攻擊的幾率也很大。而且上邊這些方法可能還會聯合行動，組合在一起對你進行攻擊。

還有一種是與網頁結合，利用代碼把木馬嵌入到網頁，當訪問網頁時就會中招。

三、檢測木馬

對於本地電腦，可以通過以下方式查看是否含有木馬：

首先是查看開放端口，作為遠程控制軟件，木馬同樣具備遠程控制軟件的特征。為了與其主人聯系，它必須給自己開道門（即端口），因此我們可以通過查看機器開放的端口，來判斷是否有木馬經過。通過上面說到的netstat -an命令即可，其中“ESTABLISHED表示已經建立連接的端口“LISTENING表示打開並等待別人連接的端口。在打開端口中尋找可疑分子，如7626（冰河木馬），54320（Back Orifice 2000）等。

然後查看注冊表，為了實現隨系統啟動等功能，木馬都會對注冊表進行修改，我們可以通過查看注冊表來尋找木馬的痕跡，在“運行中輸入“regedit，回車後打開注冊表編輯器，

定位到：HKEY_CURRENT_USER/Software/microsoft/Windows/CurrentVersion/Explorer下，分別打開Shell Folders、User Shell Folders、Run、RunOnce和RunServices子鍵，檢查裡邊是否有可疑的內容。

注冊表

再定位到HKEY_LOCAL_MacHINE/Software/Microsoft/Windows/CurrentVersion/Explorer下，分別查看上述5個子鍵中的內容。一旦在裡邊找到你不認識的程序，就要提高警惕了。

再查看系統配置文件，很多木馬文件都會修改系統文件，而win.ini和system.ini文件則是被修改最頻繁的兩個軟件。我們需要對其進行定期體檢。在“運行中輸入“%systemroot%，回車後會打開“Windows文件夾，找到裡邊的win.ini文件，在裡邊搜索“windows字段，如果找到形如“load=file.exe，run=file.exe這樣的語句（file.exe為木馬程序名），就要格外小心了，這很可能是木馬的主程序。類似的，在system.ini文件中搜索“boot字段，找到裡邊的“Shell=ABC.exe，默認應為“Shell=Explorer.exe，如果是其他程序則也可能是中了木馬。

除此之外，你還可以通過查看系統進程和使用專用木馬檢測軟件的方法，來推斷系統中是否存在木馬。

四、木馬防御

mshta.exe是執行hta文件的，一些網站上有惡意hta文件都是通過這個程序來運行。在系統中搜索mshta.exe文件，將其改名。再在“運行中輸入“%windows%coMMand，將裡邊debug.exe和ftp.exe也改名。

打開注冊表編輯器，定位到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ，在裡邊找到“Active Setup controls子鍵（如沒有需手動建立），再在其下創建新子鍵，命名為{6E449683_C509_11CF_AAFA_00AA00 B6015C}，在右側的空白處單擊鼠標右鍵，選擇“新鍵→“DWord值，鍵名為“Compatibility，設定鍵值為“0x00000400即可。

三、檢測木馬

對於本地電腦，可以通過以下方式查看是否含有木馬：

首先是查看開放端口，作為遠程控制軟件，木馬同樣具備遠程控制軟件的特征。為了與其主人聯系，它必須給自己開道門（即端口），因此我們可以通過查看機器開放的端口，來判斷是否有木馬經過。通過上面說到的netstat -an命令即可，其中“ESTABLISHED表示已經建立連接的端口“LISTENING表示打開並等待別人連接的端口。在打開端口中尋找可疑分子，如7626（冰河木馬），54320（Back Orifice 2000）等。

然後查看注冊表，為了實現隨系統啟動等功能，木馬都會對注冊表進行修改，我們可以通過查看注冊表來尋找木馬的痕跡，在“運行中輸入“regedit，回車後打開注冊表編輯器，

定位到：HKEY_CURRENT_USER/Software/microsoft/Windows/CurrentVersion/Explorer下，分別打開Shell Folders、User Shell Folders、Run、RunOnce和RunServices子鍵，檢查裡邊是否有可疑的內容。

注冊表

再定位到HKEY_LOCAL_MacHINE/Software/Microsoft/Windows/CurrentVersion/Explorer下，分別查看上述5個子鍵中的內容。一旦在裡邊找到你不認識的程序，就要提高警惕了。

再查看系統配置文件，很多木馬文件都會修改系統文件，而win.ini和system.ini文件則是被修改最頻繁的兩個軟件。我們需要對其進行定期體檢。在“運行中輸入“%systemroot%，回車後會打開“Windows文件夾，找到裡邊的win.ini文件，在裡邊搜索“windows字段，如果找到形如“load=file.exe，run=file.exe這樣的語句（file.exe為木馬程序名），就要格外小心了，這很可能是木馬的主程序。類似的，在system.ini文件中搜索“boot字段，找到裡邊的“Shell=ABC.exe，默認應為“Shell=Explorer.exe，如果是其他程序則也可能是中了木馬。

除此之外，你還可以通過查看系統進程和使用專用木馬檢測軟件的方法，來推斷系統中是否存在木馬。

四、木馬防御

mshta.exe是執行hta文件的，一些網站上有惡意hta文件都是通過這個程序來運行。在系統中搜