TXT文档陷阱的阴谋

除MS OFFICE文档外，TXT文本文档也是办公中常见的一种文本格式。很多朋友对这种文本更没有防范意识，其实貌似TXT文本的带病毒文件也很常见。
一、文本文档木马
目前比较流行的TXT文本文件木马是“文本陷阱”这个病毒的攻击非常简单，但是危害性却极大。“文本陷阱”是一个后缀为.exe的木马病毒程序，只不过其使用的是本文文件的图标，所以在因此文件扩展名时，很容易被误认为这是一个文本文档。
该木马的危害性非常大，可以实现在被攻击主机上添加管理员用户、打开磁盘自动运行功能以运行特殊木马，开启windows xp/2003的远程终端等。并且该程序完全不会被杀毒软件查出，而且只要对方的主机上运行了此程序，就会本文文件关联，每次打开文本文件时都会自动在次运行该程序，从而使被入侵主机牢牢地控制在攻击者的手中。
1、“文本陷阱”的攻击性

当电脑用户无意间在电脑上打开这个文本陷阱时，就会在用户列表中加入一个隐藏的管理员用户、打开远程控制等，在中了“文本陷阱”木马病毒的电脑上，进入命令提示符窗口，输入“net user”命令，即可显示电脑上的所有用户帐号。其中会有一个“IWAM-IUSR”的用户名，这个用户就是刚才运行文本陷阱后添加的用户，默认密码为“gxgi.com#2004”。这个用户名与系统中默认的用户名非常相似，相必一些没有经验的用户们是很难察觉出来的。
2、打开“我的电脑”的“属性”远程选项中可以看到“”远程桌面中的“允许用户远程连接此计算机”项已经被选择开启了。

3、打开各个盘的根目录可以看到一个名为“autorun.inf”的木马文件，这个文件也是程序运行时自动添加的，他可以启用硬盘分区的自动运行功能，当该分区被打开时就会自动运行指定的后门程序，用记事本打开此文件，可以看到被自动运行的程序名为“c:\windows\system32\dllcache\sconf.exe”.

二、防范
其实这个文本陷阱虽然有很大的诱惑性，但是只要我们在资源管理器的“文件夹选项”中将“隐藏已知文件类型的扩展名”项的选择取消掉，就可以然他原形毕露了。该怎么查杀呢？
1、删除掉程序添加的帐号
在命令提示符下输入：net user IWAM-IUSR /delete
2、删除相关文件
删除各分区根目录下的autorun.inf文件和c:\windows\system32\dllcache\下的sconf.exe文件
3、关闭被开启的远程控制终端连接
经验分享：
有时当我们做完一切清楚工作后，会发现刚才删除的东西又重新出现了。这是由于当文本陷阱程序运行时，会将自身复制后重命名保存在system32目录中，文件名为“svhost.exe”该文件被设为隐藏和系统属性，创建时间改为和CMD.exe的一样，因此很不容易发现。并且该文件自动跟文本文件关联，打开文本文件就会自动运行“svhost.exe”一次，所以我们最后还需要将“svhost.exe”文件删除，才能彻底将系统中的后门删除掉。另外在删除掉这个文件后，还需重新将文本文件类型与记事本进行关联。可以直接使用第三方工具“sreng2”来进行修复

总结：
对于这种病毒只要平时谨慎些经常主要其后缀即可，其实电脑的安全往往在于自己的疏忽