51CTO讀者成長計(jì)劃社群招募，咨詢小助手（微信號(hào)：CTOjishuzhan）

譯者 | 陳峻

審校 | 重樓

在Windows Defender的例行后臺(tái)安全掃描期間，您是否收到警告，聲稱其檢測到了名為Trojan:Script/Wacatac.B!ml的威脅呢？它是否會(huì)進(jìn)一步提示您：Windows Defender已經(jīng)嘗試過修復(fù)該威脅，但尚未成功，需要采取進(jìn)一步的措施？根據(jù)此類跡象，您的計(jì)算機(jī)多半已經(jīng)感染了Wacatac類型的特洛伊木馬，而Windows Defender無法自動(dòng)將其刪除。對此，本文將和您詳細(xì)探討此類木馬的概念、它會(huì)如何感染電腦，以及當(dāng)它出現(xiàn)時(shí)，我們該采取何種措施。

一、什么是Wacatac.B!ml木馬？

由于Wacatac.B!ml會(huì)通過誘騙用戶去執(zhí)行看似合法的文件，以進(jìn)入目標(biāo)Windows操作系統(tǒng)，因此它被Windows Defender歸類為木馬病毒。

通常，您的系統(tǒng)一旦被它感染，就會(huì)面臨身份盜用、數(shù)據(jù)感染、以及各項(xiàng)經(jīng)濟(jì)損失的風(fēng)險(xiǎn)。此外，它也會(huì)在您不知情的情況下，在后臺(tái)消耗大量的資源，從而導(dǎo)致整體性能的低下。那么問題來了，它會(huì)以何種方式進(jìn)入您的電腦呢？

二、Wacatac.B!ml木馬如何入侵電腦？

要了解Wacatac木馬會(huì)如何滲入電腦，讓我們先問自己如下幾個(gè)問題：

您是否下載了破解版的應(yīng)用，或使用了破解版的免費(fèi)激活高級(jí)軟件？

您是否從看似可疑的網(wǎng)站處，下載了任何舊版本的軟件或應(yīng)用？

在過去的幾天里，您是否收到過一封看似真實(shí)的電子郵件（可能是您不記得開過的貨運(yùn)發(fā)票），但是當(dāng)您點(diǎn)擊電子郵件中的附件時(shí)，它好像運(yùn)行了一個(gè)腳本，然后突然消失了？

您是否使用torrent文件下載了所謂免費(fèi)的電影或歌曲？

您是否幾天前關(guān)閉了Windows Defender或其他防病毒軟件，然后再次開啟和掃描自己的電腦時(shí)，發(fā)現(xiàn)了此木馬？

如果您對上述問題的任何一個(gè)持肯定回答的話，那么您就該知道Wacatac木馬是如何進(jìn)入自己的電腦了。您也許會(huì)問，Windows Defender有沒有可能產(chǎn)生誤報(bào)呢？其實(shí)是有可能的。為此，我們需要事先排查一下。

三、確保Wacatac.B!ml木馬警報(bào)并非誤報(bào)

為了驗(yàn)證針對Wacatac特洛伊木馬的警報(bào)不是誤報(bào)，請您參照并執(zhí)行如下操作步驟：

1、訪問VirusTotal網(wǎng)站--https://www.virustotal.com/gui/home/upload，單擊上面的選擇文件按鈕。

導(dǎo)航到由Windows Defender檢測到的、被木馬入侵的文件路徑。例如：C:\WINDOWS\System32\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE\QINNLJOV.htm

2、選擇并上傳疑是被感染的文件。

如果掃描結(jié)果顯示該文件屬于正常，那么我們可以判定為誤報(bào)。當(dāng)然，就算文件在此顯示為未檢測到木馬或惡意軟件，我們?nèi)匀唤ㄗh將無用的文件刪除掉。

四、如何從設(shè)備中刪除Wacatac.B!ml木馬

如果您確定其為Wacatac木馬并非誤報(bào)，那么就需要通過如下步驟開展文件的刪除工作：

1.刪除已被感染的文件

我們的第一步是直接刪除由Windows Defender發(fā)現(xiàn)的已被感染的文件。為此，請導(dǎo)航到類似上文提到的路徑，右鍵單擊該文件，然后按住Shift鍵，選擇刪除。

刪除掉文件后，請?jiān)俅卧谧约旱碾娔X上運(yùn)行安全檢查。如果木馬繼續(xù)被檢測到的話，請執(zhí)行下一步的修復(fù)。

注意：如果Windows Defender發(fā)現(xiàn)的被感染文件是Windows操作系統(tǒng)文件，那么我們應(yīng)當(dāng)謹(jǐn)慎刪除之，否則可能會(huì)導(dǎo)致電腦無法正常啟動(dòng)及進(jìn)入系統(tǒng)。

2.手動(dòng)刪除威脅

Windows Security可以簡化手動(dòng)刪除威脅的過程。請遵循如下步驟：

• 同時(shí)按下Win+I，以打開“設(shè)置”。
• 在左側(cè)邊欄中，單擊“隱私與安全”。
• 在右邊窗格中，單擊Windows Security。

• 單擊“病毒與威脅防護(hù)”。
• 然后點(diǎn)擊“保護(hù)歷史”。

• 單擊Wacatac的威脅。
• 打開“操作（Actions）”下拉菜單，并選擇“刪除”。

請?jiān)俅芜\(yùn)行掃描。如果仍無法刪除該威脅的話，請執(zhí)行相同的步驟，并在“操作”的下拉列表中選擇“隔離”，以防止病毒的進(jìn)一步傳播。

3.在安全模式下運(yùn)行惡意軟件掃描

通常，惡意軟件的存在，會(huì)阻止Windows Defender刪除受感染的文件。為了防止此類情況的發(fā)生，您應(yīng)該首先將Windows 10（或Windows 11）設(shè)備啟動(dòng)到安全模式。據(jù)此，惡意軟件將無法干擾我們刪除受感染的文件等后續(xù)操作。

接著，您應(yīng)該運(yùn)行Microsoft Defender的脫機(jī)掃描。請記住，完整的病毒掃描可能需要一個(gè)多小時(shí)，因此請務(wù)必耐心等待其完成。在此之后，您可以通過Windows Security檢查是否仍會(huì)再次報(bào)告威脅。如果仍有報(bào)告的話，則需要使用第三方的防病毒應(yīng)用去進(jìn)一步查殺惡意軟件。

當(dāng)然，Windows Defender有時(shí)可能并沒有完全刪除干凈惡意軟件，或是盡管刪除了病毒，但是仍然會(huì)不斷發(fā)出錯(cuò)誤的提示信息。此時(shí)，第三方軟件則可以幫助我們再次確認(rèn)威脅是否的確存在。如果存在，則將其根除；如果根除失敗，請重置操作系統(tǒng)。

4.重置操作系統(tǒng)

當(dāng)所有修復(fù)都無能為力時(shí)，您只能采用重置Windows這一最后手段了。在重置過程中，Windows將刪除所有已安裝的應(yīng)用程序，并將所有自定義設(shè)置恢復(fù)為默認(rèn)設(shè)置，但您的文件將被保持不變（如果您事先做好選擇的話）。當(dāng)然，如果您對此不太熟悉的話，請參考有關(guān)將Windows設(shè)備恢復(fù)為出廠設(shè)置的指南。

五、下載文件時(shí)出現(xiàn)Wacatac木馬警告

在從互聯(lián)網(wǎng)上下載特定文件時(shí)，您也可能遇到有關(guān)Wacatac木馬的警告。對此，請暫時(shí)斷開設(shè)備與互聯(lián)網(wǎng)的連接，以阻止木馬進(jìn)一步滲透到您的系統(tǒng)，甚至感染所在網(wǎng)絡(luò)的其他設(shè)備。接著，您同樣可以使用Windows Defender，在自己的電腦上運(yùn)行惡意軟件掃描，以便確認(rèn)其并非誤報(bào)。

說到誤報(bào)，值得一提的是，據(jù)報(bào)道，在下載壓縮文件時(shí)，即便是從合法來源處下載， Windows系統(tǒng)有時(shí)會(huì)出現(xiàn)疑似Wacatac木馬的警告，尤其是那些帶有.RAR擴(kuò)展名的文件。對此，請按照如下步驟操作：

• 復(fù)制待下載文件的鏈接。
• 訪問VirusTotal網(wǎng)站--https://www.virustotal.com/gui/home/url。
• 在URL掃描器中輸入您訪問的URL。

直接點(diǎn)擊Enter。

如果VirusTotal的在線掃描程序返回?zé)o惡意（malicious）的結(jié)果，那么您就可以放心地下載該文件了。與此同時(shí)，您只需在Windows Defender中將該文件列入白名單，以剔除該文件即可。當(dāng)然，如果掃描程序羅列出了各種安全供應(yīng)商已判定其為惡意軟件的結(jié)果，那么就請不要下載它了。

六、保護(hù)您的隱私免受Wacatac木馬的侵?jǐn)_

至此，您應(yīng)該對Wacatac木馬有所了解了。簡言之，如果您的設(shè)備已被感染，那么請立即使用Windows自帶的、或第三方的工具清除之；如果疑似誤報(bào)，請使用多種工具進(jìn)行驗(yàn)證，以免除反復(fù)提醒?？傊⌒鸟偟萌f年船。

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：What Is the Wacatac.B!ml Trojan? How to Remove It From Windows，作者：SHAN ABDUL

原文鏈接：https://www.makeuseof.com/windows-wacatac-trojan/