種病毒怎么清除? 特洛伊木馬（Trojan horse）

完整的木馬程序一般由兩個部份組成：一個是服務器程序，一個是控制器程序。“中了木馬”就是指安裝了木馬的服務器程序，若你的電腦被安裝了服務器程序，則擁有控制器程序的人就可以通過網絡控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的帳號、密碼就無安全可言了。

木馬程序不能算是一種病毒，但越來越多的新版的殺毒軟件，已開始可以查殺一些木馬了，所以也有不少人稱木馬程序為黑客病毒。

特洛伊木馬是如何啟動的

1. 在Win.ini中啟動

在Win.ini的[windows]字段中有啟動命令"load＝"和"run＝"，在一般情況下 "＝"后面是空白的，如果有后跟程序，比方說是這個樣子：

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了，這個file.exe很可能是木馬哦。

2.在System.ini中啟動

System.ini位于Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏加載之所，木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這里的file.exe就是木馬服務端程序!

另外，在System.中的[386Enh]字段，要注意檢查在此段內的"driver＝路徑\程序名"這里也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這3個字段，這些段也是起到加載驅動程序的作用，但也是增添木馬程序的好場所，現在你該知道也要注意這里嘍。

3.利用注冊表加載運行

如下所示注冊表位置都是木馬喜好的藏身加載之所，趕快檢查一下，有什么程序在其下。

4.在Autoexec.bat和Config.sys中加載運行

請大家注意，在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后，將己添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行，而且采用這種方式不是很隱蔽。容易被發現，所以在Autoexec.bat和Confings中加載木馬程序的并不多見，但也不能因此而掉以輕心。

5.在Winstart.bat中啟動

Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件，也是一個能自動被Windows加載運行的文件。它多數情況下為應用程序及Windows自動生成，在執行了Windows自動生成，在執行了Win.買粉絲并加截了多數驅動程序之后

開始執行 (這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行，危險由此而來。

6.啟動組

木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這里的確是自動加載運行的好場所，因此還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為C:\Windows\start menu\programs\startup,在注冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

Folders Startup="c:\windows\start menu\programs\startup"。要注意經常檢查啟動組哦!

7.*.INI

即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。只啟動一次的方式:在winint.ini.中(用于安裝較多)。

8.修改文件關聯

修改文件關聯是木馬們常用手段 (主要是國產木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT文件的打開方式為Notepad.EXE文件，但一旦中了文件關聯木馬，則txt文件打開方式就會被修改為用木馬程序打開，如著名的國產木馬冰河就是這樣干的. "冰河"就是通過修改HKEY_CLASSES_ROOT\txtfile\whell\open\買粉絲mand下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE本應用Notepad打開，如著名的國產HKEY一CLASSES一ROOT\txt鬧e\shell\open\買粉絲mandT的鍵值，將 "C:\WINDOWS\NOTEPAD.EXE%l"改為 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，這樣，一旦你雙擊一個TXT文件，原本應用Notepad打開該文件，現在卻變成啟動木馬程序了，好狠毒哦!請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP.COM等都是木馬的目標，要小心摟。

對付這類木馬，只能經常檢查HKEY_C\shell\open\買粉絲mand主鍵，查看其鍵值是否正常。

9.捆綁文件

實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起，然后上傳到服務端覆蓋源文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬義會安裝上去。綁定到某一應用程序中，如綁定到系統文件，那么每一次Windows啟動均會啟動木馬。

10.反彈端口型木馬的主動連接方式

反彈端口型木馬我們已經在前面說過了，由于它與一般的木馬相反，其服務端 (被控制端)主動與客戶端 (控制端)建立連接，并且監聽端口一般開在80，所以如果沒有合適的工具、豐富的經驗真的很難防范。這類木馬的典型代表就是網絡神偷"。由于這類木馬仍然要在注冊表中建立鍵值注冊表的變化就不難查到它們。同時，最新的天網防火墻(如我們在第三點中所講的那樣)，因此只要留意也可在網絡神偷服務端進行主動連接時發現它。

WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木馬（Trojan horse）

的解決方案:

WORM_NUGACHE.G(威金)

病毒碼發布日期: Dec 8, 2006

解決方案:

Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.

Terminating the Malware Program

This procere terminates the running malware process.

Open Windows Task Manager.

• On Windows 98 and ME, press

CTRL+ALT+DELETE

• On Windows NT, 2000, XP, and Server 2003, press

CTRL+SHIFT+ESC, then click the Processes tab.

In the list of running programs*, locate the process:

MSTC.EXE

Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your 買粉絲puter.

To check if the malware process has been terminated, close Task Manager, and then open it again.

Close Task Manager.

*NOTE: On 買粉絲puters running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.

On 買粉絲puters running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, 買粉絲ntinue with the next solution procere, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your 買粉絲puter in safe mode.

Editing the Registry

This malware modifies the 買粉絲puter's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:

HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME

HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0

HOW TO: Backup,