手工查殺木馬和病毒 作網路安全緝毒高手

　　木馬的出現讓我們損失的不僅僅是電腦控制權，更多的是隱私、金錢甚至是名譽。防範木馬已經成為安全領域中最重要的問題之一。而手工清除木馬的教程動輒要幾大篇，其實只要我們具備一些基本的安全知識，完全可以防住木馬攻擊。

　　一、認識木馬

　　從本質上說，木馬就是一種遠端控制軟體。不過遠端控制軟體也有分類。一般來說就是名正言順的幫你遠端管理和設定電腦的軟體，如Windows XP自帶的遠端協助功能，這類軟體在執行時，都會在系統工作列中出現，明確的告訴使用者當前系統處於被控制狀態；而木馬則會偷偷潛入你的電腦進行破壞，並透過修改登錄檔、捆綁在正常程式上的方式執行，使你難覓其蹤跡。

　　一般一臺個人用的系統在開機後最多隻有137、138、139三個埠。若上網衝浪會有其他埠，這是本機與網上主機通訊時開啟的，IE一般會開啟連續的埠:1025，1026，1027等，QQ會開啟4000、4001……等埠，我們可以使用netstat -an命令檢視系統當前的埠狀態。

　　木馬與普通遠端控制軟體另外一個不同點在於，木馬實現的遠端控制功能更為豐富，其不僅能夠實現一般遠端控制軟體的功能，還可以破壞系統檔案、記錄鍵盤動作、盜取密碼、修改登錄檔和限制系統功能等。而且你還可能成為養馬者的幫兇，養馬者還可能會使用你的機器去攻擊別人，讓你來背黑鍋。

　　二、木馬傳播途徑

　　一般來說，木馬會透過以下幾種方式傳播：

　　最常見的就是利用聊天軟體，例如你的QQ好友中了某種木馬，這個木馬很有可能在好友的機器上執行QQ，併發一條訊息給你，誘使你開啟某個連結或執行某個程式，如果你不慎點選或執行，木馬就會偷偷跑進來。

　　另外一種流行的方法是檔案捆綁，如與圖片檔案捆綁，當你瀏覽圖片的時候，木馬也會偷偷溜達進來；網頁裡養馬也是一種常見的方法，駭客把做好的木馬放到網頁上，並誘使你開啟，你只要瀏覽這個頁面就可能中招。

　　最後一種常用方法是網咖種植，網咖的機器安全性差，駭客還可以直接在機器上做手腳，所以網咖中帶馬的機器很多。在網咖上網時受到木馬攻擊的機率也很大。而且上邊這些方法可能還會聯合行動，組合在一起對你進行攻擊。

　　還有一種是與網頁結合，利用程式碼把木馬嵌入到網頁，當訪問網頁時就會中招。

　　三、檢測木馬

　　對於本地電腦，可以透過以下方式檢視是否含有木馬：

　　首先是檢視開放埠，作為遠端控制軟體，木馬同樣具備遠端控制軟體的特徵。為了與其主人聯絡，它必須給自己開道門（即埠），因此我們可以透過檢視機器開放的埠，來判斷是否有木馬經過。透過上面說到的netstat -an命令即可，其中“ESTABLISHED”表示已經建立連線的埠“LISTENING”表示開啟並等待別人連線的埠。在開啟埠中尋找可疑分子，如7626（冰河木馬），54320（Back Orifice 2000）等。

　　然後檢視登錄檔，為了實現隨系統啟動等功能，木馬都會對登錄檔進行修改，我們可以透過檢視登錄檔來尋找木馬的痕跡，在“執行”中輸入“regedit”，回車後開啟登錄檔編輯器，

　　定位到：HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下，分別開啟Shell Folders、User Shell Folders、Run、RunOnce和RunServices子鍵，檢查裡邊是否有可疑的內容。

　　再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下，分別檢視上述5個子鍵中的內容。一旦在裡邊找到你不認識的程式，就要提高警惕了。

　　再檢視系統配置檔案，很多木馬檔案都會修改系統檔案，而win.ini和system.ini檔案則是被修改最頻繁的兩個軟體。我們需要對其進行定期體檢。在“執行”中輸入“%systemroot%”，回車後會開啟“Windows”資料夾，找到裡邊的win.ini檔案，在裡邊搜尋“windows”欄位，如果找到形如“load=file.exe，run=file.exe”這樣的語句（file.exe為木馬程式名），就要格外小心了，這很可能是木馬的主程式。類似的，在system.ini檔案中搜尋“boot”欄位，找到裡邊的“Shell=ABC.exe”，預設應為“Shell=Explorer.exe”，如果是其他程式則也可能是中了木馬。

　　除此之外，你還可以透過檢視系統程式和使用專用木馬檢測軟體的方法，來推斷系統中是否存在木馬。

　　四、木馬防禦

　　mshta.exe是執行hta檔案的，一些網站上有惡意hta檔案都是透過這個程式來執行。在系統中搜尋mshta.exe檔案，將其改名。再在“執行”中輸入“%windows%coMMand”，將裡邊debug.exe和ftp.exe也改名。

　　開啟登錄檔編輯器，定位到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ，在裡邊找到“Active Setup controls”子鍵（如沒有需手動建立），再在其下建立新子鍵，命名為{6E449683_C509_11CF_AAFA_00AA00 B6015C}，在右側的空白處單擊滑鼠右鍵，選擇“新鍵”→“DWORD值”，鍵名為“Compatibility”，設定鍵值為“0×00000400”即可。