【IT168 专稿】除MS OFFICE文档外，TXT文本文档也是办公中常见的一种文本格式。很多网友对这种文本更没有防范意识，其实貌似TXT文本的带病毒文件也很常见。目前比较流行的TXT文本文件木马是“文本陷阱”这个病毒的攻击非常简单，但是危害性却极大。“文本陷阱”是一个后缀为.exe的木马病毒程序，很容易被误认为是文本文档。

    “文本陷阱”的攻击性
    该木马的危害性非常大，可以实现在被攻击主机上添加管理员用户、打开磁盘自动运行功能以运行特殊木马，开启windows xp/2003的远程终端等。并且该程序完全不会被杀毒软件查出，而且只要对方的主机上运行了此程序，就会本文文件关联，每次打开文本文件时都会自动在次运行该程序，从而使被入侵主机牢牢地控制在攻击者的手中。

    当电脑用户无意间打开该文本陷阱时，病毒将会在用户列表中加入一个隐藏的管理员用户并打开远程控制等。用户查看是否中了该毒，只需在提示符窗口中输入“net user”命令，即可显示电脑上的所有用户帐号。其中会有一个“IWAM-IUSR”的用户名，该帐号就是运行文本陷阱后添加的用户，默认密码为“gxgi.com#2004”。

    打开“我的电脑”的“属性”远程选项中可以看到“”远程桌面中的“允许用户远程连接此计算机”项已经被选择开启了。图1

    其次打开各个盘的根目录可以看到一个名为“autorun.inf”的木马文件，这个文件也是程序运行时自动添加的，他可以启用硬盘分区的自动运行功能，当该分区被打开时就会自动运行指定的后门程序，用记事本打开此文件，可以看到被自动运行的程序名为“c:\windows\system32\dllcache\sconf.exe”。图2

    此类木马的防范
    其实这个文本陷阱虽然有很大的诱惑性，但是只要在资源管理器的“文件夹选项”中将“隐藏已知文件类型的扩展名”项的选择取消掉，就可以了，查杀方法如下：

    1、删除掉程序添加的帐号：在命令提示符下输入 ：net user IWAM-IUSR /delete

    2、删除相关文件：删除各分区根目录下的autorun.inf文件和c:\windows\system32\dllcache\下的sconf.exe文件

    3、关闭被开启的远程控制终端连接

    经验分享
    有时当删除完成该文件后，会发现刚才删除的东西又重新出现了。这是由于当文本陷阱程序运行时，会将自身复制后重命名保存在system32目录中，文件名为“svhost.exe”该文件被设为隐藏和系统属性，创建时间改为和CMD.exe的一样，因此很不容易发现。并且该文件自动跟文本文件关联，打开文本文件就会自动运行“svhost.exe”一次，所以最后还需要将“svhost.exe”文件删除，才能彻底将系统中的后门删除掉。另外在删除掉这个文件后，还需重新将文本文件类型与记事本进行关联。可以直接使用第三方工具“sreng2”来进行修复下载地址：http://bbs.wsf123.cn/viewthread.php?tid=103&extra=page=2图3

    对于此类病毒，网民只需注意文件后缀名即可。