【IT168 专稿】除MS OFFICE文档外，TXT文本文档也是办公中常见的一种文本格式。很多网友对这种文本更没有防范意识，其实貌似TXT文本的带病毒文件也很常见。目前比较流行的TXT文本文件木马是“文本陷阱”这个病毒的攻击非常简单，但是危害性却极大。“文本陷阱”是一个后缀为.exe的木马病毒程序，很容易被误认为是文本文档。

    “文本陷阱”的攻击性
    该木马的危害性非常大，可以实现在被攻击主机上添加管理员用户、打开磁盘自动运行功能以运行特殊木马，开启windows xp/2003的远程终端等。并且该程序完全不会被杀毒软件查出，而且只要对方的主机上运行了此程序，就会本文文件关联，每次打开文本文件时都会自动在次运行该程序，从而使被入侵主机牢牢地控制在攻击者的手中。

    当电脑用户无意间打开该文本陷阱时，病毒将会在用户列表中加入一个隐藏的管理员用户并打开远程控制等。用户查看是否中了该毒，只需在提示符窗口中输入“net user”命令，即可显示电脑上的所有用户帐号。其中会有一个“IWAM-IUSR”的用户名，该帐号就是运行文本陷阱后添加的用户，默认密码为“gxgi.com#2004”。

    打开“我的电脑”的“属性”远程选项中可以看到“”远程桌面中的“允许用户远程连接此计算机”项已经被选择开启了。图1

    其次打开各个盘的根目录可以看到一个名为“autorun.inf”的木马文件，这个文件也是程序运行时自动添加的，他可以启用硬盘分区的自动运行功能，当该分区被打开时就会自动运行指定的后门程序，用记事本打开此文件，可以看到被自动运行的程序名为“c:\windows\system32\dllcache\sconf.exe”。图2