检测屏避法 轻松降服网络蠕虫病毒杀手

来源：eNet硅谷动力

　　木马是病毒当中非常特殊的一族。它的实质只是一个网络C/S程序。木马工作的原理是这样的：一台中了木马被控制的机器相当于一台服务器，控制端则相当于一台客户机，作为服务器的主机会由木马打开一个端口并接收控制端的命令，如果控制端提出连接请求，这时中毒机器上的木马就会自动运行，来回应控制端的请求（开始将中毒机器中对方需要的资料或者文件传送给木马发送者的机器）。因此，这就是整个木马工作的程序。

　　木马常见的中毒症状表现如下：莫名其妙的死机，在没有操作的情况下硬盘自动读取（机箱指示灯在闪烁）等等以外，通过下面几个办法可以帮助大家发现木马：

　　(1)奇怪的开机运行程序

　　很多木马都是开机就运行的，如果你发现了奇怪的开机运行程序可以通过【开始】－【运行】输入“msconfig”回车，打开【系统实用配置程序】－【启动】在这里关闭你不需要的。往往病毒在这里关闭以后还会出来，并且2000系统没有msconfig这个程序，所以需要修改注册表，咱们往下看。

　　笔者经过整理发现一般木马都会在以下位置加载自己达到开机运行的目的：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
　　[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]

　　一旦在注册表以上位置发现含有奇怪的程序路径完全可以删除，然后记住程序名称在注册表中通过搜索找到并删除！

　　(2)网络流量异常

　　平时如果没有下载或者上传，但是却发现网络流量较大（可以通过ADSL指示灯或者通过任务栏里面上网络状态查看），很有可能就是木马正在工作。这是应该立刻关闭网络，重启进入安全模式下仔细检查。

　　(3)任务管理器中检查可疑进程

　　通过ctrl + shift + del打开 [任务管理器]－[进程]，经常看看里面都有哪些进程在运行。如果你一个都不了解可以上网通过搜索引擎查询。一旦发现可疑进程就要立刻检查。

　　另外，很多时候会出现某个进程对应的cpu使用率接近100％,首先通过软件或者网络搜索这个进程信息对应的程序，关闭程序或者替换别的版本如果排除程序与系统兼容或者系统本身问题后还出现这样的情况可以断定该进程是软件绑定的木马。

　　(4)系统服务中的奇怪项目

　　开始－运行，输入services.msc在这里可以看到众多的服务，也许第一次你会头疼？教大家一个窍门：首先最大化这个窗口，点击最上端的【状态】将所以已启动的服务排列在一起，这样就一幕了然了，点击任何一个在左侧就有对应的解释。一般病毒的服务是没有解释的（这不是说没有解释的就是病毒）所以大家遇到不清楚的上网查查很快就明白了，如果发现有问题的服务赶紧关闭。方法：双击准备关闭的服务－进入属性窗口，点击“停止”然后将【启动类型】选择“已禁用”确定即可！

　　目前的杀毒软件具有很好的查杀木马的功能，可以使用杀毒软件更高效、简便地剔除木马。