51CTO讀者成長計劃社群招募，咨詢小助手（微信號：CTOjishuzhan）

譯者 | 陳峻

審校 | 重樓

在Windows Defender的例行后臺安全掃描期間，您是否收到警告，聲稱其檢測到了名為Trojan:Script/Wacatac.B!ml的威脅呢？它是否會進一步提示您：Windows Defender已經嘗試過修復該威脅，但尚未成功，需要采取進一步的措施？根據此類跡象，您的計算機多半已經感染了Wacatac類型的特洛伊木馬，而Windows Defender無法自動將其刪除。對此，本文將和您詳細探討此類木馬的概念、它會如何感染電腦，以及當它出現時，我們該采取何種措施。

一、什么是Wacatac.B!ml木馬？

由于Wacatac.B!ml會通過誘騙用戶去執行看似合法的文件，以進入目標Windows操作系統，因此它被Windows Defender歸類為木馬病毒。

通常，您的系統一旦被它感染，就會面臨身份盜用、數據感染、以及各項經濟損失的風險。此外，它也會在您不知情的情況下，在后臺消耗大量的資源，從而導致整體性能的低下。那么問題來了，它會以何種方式進入您的電腦呢？

二、Wacatac.B!ml木馬如何入侵電腦？

要了解Wacatac木馬會如何滲入電腦，讓我們先問自己如下幾個問題：

您是否下載了破解版的應用，或使用了破解版的免費激活高級軟件？

您是否從看似可疑的網站處，下載了任何舊版本的軟件或應用？

在過去的幾天里，您是否收到過一封看似真實的電子郵件（可能是您不記得開過的貨運發票），但是當您點擊電子郵件中的附件時，它好像運行了一個腳本，然后突然消失了？

您是否使用torrent文件下載了所謂免費的電影或歌曲？

您是否幾天前關閉了Windows Defender或其他防病毒軟件，然后再次開啟和掃描自己的電腦時，發現了此木馬？

如果您對上述問題的任何一個持肯定回答的話，那么您就該知道Wacatac木馬是如何進入自己的電腦了。您也許會問，Windows Defender有沒有可能產生誤報呢？其實是有可能的。為此，我們需要事先排查一下。

三、確保Wacatac.B!ml木馬警報并非誤報

為了驗證針對Wacatac特洛伊木馬的警報不是誤報，請您參照并執行如下操作步驟：

1、訪問VirusTotal網站--https://www.virustotal.com/gui/home/upload，單擊上面的選擇文件按鈕。

導航到由Windows Defender檢測到的、被木馬入侵的文件路徑。例如：C:\WINDOWS\System32\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE\QINNLJOV.htm

2、選擇并上傳疑是被感染的文件。

如果掃描結果顯示該文件屬于正常，那么我們可以判定為誤報。當然，就算文件在此顯示為未檢測到木馬或惡意軟件，我們仍然建議將無用的文件刪除掉。

四、如何從設備中刪除Wacatac.B!ml木馬

如果您確定其為Wacatac木馬并非誤報，那么就需要通過如下步驟開展文件的刪除工作：

1.刪除已被感染的文件

我們的第一步是直接刪除由Windows Defender發現的已被感染的文件。為此，請導航到類似上文提到的路徑，右鍵單擊該文件，然后按住Shift鍵，選擇刪除。

刪除掉文件后，請再次在自己的電腦上運行安全檢查。如果木馬繼續被檢測到的話，請執行下一步的修復。

注意：如果Windows Defender發現的被感染文件是Windows操作系統文件，那么我們應當謹慎刪除之，否則可能會導致電腦無法正常啟動及進入系統。

2.手動刪除威脅

Windows Security可以簡化手動刪除威脅的過程。請遵循如下步驟：

• 同時按下Win+I，以打開“設置”。
• 在左側邊欄中，單擊“隱私與安全”。
• 在右邊窗格中，單擊Windows Security。

• 單擊“病毒與威脅防護”。
• 然后點擊“保護歷史”。

• 單擊Wacatac的威脅。
• 打開“操作（Actions）”下拉菜單，并選擇“刪除”。

請再次運行掃描。如果仍無法刪除該威脅的話，請執行相同的步驟，并在“操作”的下拉列表中選擇“隔離”，以防止病毒的進一步傳播。

3.在安全模式下運行惡意軟件掃描

通常，惡意軟件的存在，會阻止Windows Defender刪除受感染的文件。為了防止此類情況的發生，您應該首先將Windows 10（或Windows 11）設備啟動到安全模式。據此，惡意軟件將無法干擾我們刪除受感染的文件等后續操作。

接著，您應該運行Microsoft Defender的脫機掃描。請記住，完整的病毒掃描可能需要一個多小時，因此請務必耐心等待其完成。在此之后，您可以通過Windows Security檢查是否仍會再次報告威脅。如果仍有報告的話，則需要使用第三方的防病毒應用去進一步查殺惡意軟件。

當然，Windows Defender有時可能并沒有完全刪除干凈惡意軟件，或是盡管刪除了病毒，但是仍然會不斷發出錯誤的提示信息。此時，第三方軟件則可以幫助我們再次確認威脅是否的確存在。如果存在，則將其根除；如果根除失敗，請重置操作系統。

4.重置操作系統

當所有修復都無能為力時，您只能采用重置Windows這一最后手段了。在重置過程中，Windows將刪除所有已安裝的應用程序，并將所有自定義設置恢復為默認設置，但您的文件將被保持不變（如果您事先做好選擇的話）。當然，如果您對此不太熟悉的話，請參考有關將Windows設備恢復為出廠設置的指南。

五、下載文件時出現Wacatac木馬警告

在從互聯網上下載特定文件時，您也可能遇到有關Wacatac木馬的警告。對此，請暫時斷開設備與互聯網的連接，以阻止木馬進一步滲透到您的系統，甚至感染所在網絡的其他設備。接著，您同樣可以使用Windows Defender，在自己的電腦上運行惡意軟件掃描，以便確認其并非誤報。

說到誤報，值得一提的是，據報道，在下載壓縮文件時，即便是從合法來源處下載， Windows系統有時會出現疑似Wacatac木馬的警告，尤其是那些帶有.RAR擴展名的文件。對此，請按照如下步驟操作：

• 復制待下載文件的鏈接。
• 訪問VirusTotal網站--https://www.virustotal.com/gui/home/url。
• 在URL掃描器中輸入您訪問的URL。

直接點擊Enter。

如果VirusTotal的在線掃描程序返回無惡意（malicious）的結果，那么您就可以放心地下載該文件了。與此同時，您只需在Windows Defender中將該文件列入白名單，以剔除該文件即可。當然，如果掃描程序羅列出了各種安全供應商已判定其為惡意軟件的結果，那么就請不要下載它了。

六、保護您的隱私免受Wacatac木馬的侵擾

至此，您應該對Wacatac木馬有所了解了。簡言之，如果您的設備已被感染，那么請立即使用Windows自帶的、或第三方的工具清除之；如果疑似誤報，請使用多種工具進行驗證，以免除反復提醒。總之，小心駛得萬年船。

譯者介紹

陳峻 （Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。

原文標題：What Is the Wacatac.B!ml Trojan? How to Remove It From Windows，作者：SHAN ABDUL

原文鏈接：https://www.makeuseof.com/windows-wacatac-trojan/