如何从Windows中删除Wacatac.B!ml木马？

51CTO读者成长计划社群招募，删除咨询小助手（微信号：CTOjishuzhan）

译者 | 陈峻

审校 | 重楼

在Windows Defender的木马例行后台安全扫描期间，您是删除否收到警告 ，声称其检测到了名为Trojan:Script/Wacatac.B!ml的木马威胁呢？它是否会进一步提示您：Windows Defender已经尝试过修复该威胁，但尚未成功 ，删除需要采取进一步的木马措施 ？根据此类迹象
 ，您的删除计算机多半已经感染了Wacatac类型的特洛伊木马
 ，而Windows Defender无法自动将其删除 。木马对此，删除本文将和您详细探讨此类木马的高防服务器木马概念、它会如何感染电脑，删除以及当它出现时
，木马我们该采取何种措施 。删除

一、木马什么是删除Wacatac.B!ml木马？

由于Wacatac.B!ml会通过诱骗用户去执行看似合法的文件，以进入目标Windows操作系统
，因此它被Windows Defender归类为木马病毒。

通常 ，您的系统一旦被它感染 ，就会面临身份盗用、数据感染 、以及各项经济损失的亿华云风险。此外，它也会在您不知情的情况下，在后台消耗大量的资源，从而导致整体性能的低下 。那么问题来了，它会以何种方式进入您的电脑呢？

二
、Wacatac.B!ml木马如何入侵电脑？

要了解Wacatac木马会如何渗入电脑，让我们先问自己如下几个问题 ：

您是否下载了破解版的应用 ，或使用了破解版的模板下载免费激活高级软件？

您是否从看似可疑的网站处，下载了任何旧版本的软件或应用？

在过去的几天里，您是否收到过一封看似真实的电子邮件（可能是您不记得开过的货运发票），但是当您点击电子邮件中的附件时，它好像运行了一个脚本
，然后突然消失了 ？

您是服务器租用否使用torrent文件下载了所谓免费的电影或歌曲 ？

您是否几天前关闭了Windows Defender或其他防病毒软件 ，然后再次开启和扫描自己的电脑时，发现了此木马？

如果您对上述问题的任何一个持肯定回答的话，那么您就该知道Wacatac木马是如何进入自己的电脑了。您也许会问，Windows Defender有没有可能产生误报呢？其实是有可能的 。为此，免费模板我们需要事先排查一下  。

三、确保Wacatac.B!ml木马警报并非误报

为了验证针对Wacatac特洛伊木马的警报不是误报，请您参照并执行如下操作步骤：

1、访问VirusTotal网站--https://www.virustotal.com/gui/home/upload，单击上面的选择文件按钮。

导航到由Windows Defender检测到的
、被木马入侵的文件路径。例如：C:\WINDOWS\System32\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE\QINNLJOV.htm

2、选择并上传疑是被感染的源码下载文件。

如果扫描结果显示该文件属于正常，那么我们可以判定为误报。当然，就算文件在此显示为未检测到木马或恶意软件，我们仍然建议将无用的文件删除掉。

四、如何从设备中删除Wacatac.B!ml木马

如果您确定其为Wacatac木马并非误报，那么就需要通过如下步骤开展文件的删除工作：

1.删除已被感染的文件

我们的第一步是直接删除由Windows Defender发现的已被感染的文件。为此 ，请导航到类似上文提到的路径 ，右键单击该文件
 ，然后按住Shift键，选择删除 
。

删除掉文件后 ，请再次在自己的电脑上运行安全检查。如果木马继续被检测到的话 ，请执行下一步的修复
。

注意：如果Windows Defender发现的被感染文件是Windows操作系统文件，那么我们应当谨慎删除之，否则可能会导致电脑无法正常启动及进入系统 。

2.手动删除威胁

Windows Security可以简化手动删除威胁的过程 。请遵循如下步骤：

同时按下Win+I，以打开“设置” 。在左侧边栏中，单击“隐私与安全”。在右边窗格中，单击Windows Security
。

单击“病毒与威胁防护” 。然后点击“保护历史”
。

单击Wacatac的威胁。打开“操作（Actions）”下拉菜单，并选择“删除”。

请再次运行扫描。如果仍无法删除该威胁的话，请执行相同的步骤，并在“操作”的下拉列表中选择“隔离”，以防止病毒的进一步传播 。

3.在安全模式下运行恶意软件扫描

通常
，恶意软件的存在，会阻止Windows Defender删除受感染的文件。为了防止此类情况的发生，您应该首先将Windows 10（或Windows 11）设备启动到安全模式 。据此，恶意软件将无法干扰我们删除受感染的文件等后续操作。

接着，您应该运行Microsoft Defender的脱机扫描 。请记住
，完整的病毒扫描可能需要一个多小时 ，因此请务必耐心等待其完成 。在此之后 ，您可以通过Windows Security检查是否仍会再次报告威胁 。如果仍有报告的话，则需要使用第三方的防病毒应用去进一步查杀恶意软件  。

当然 ，Windows Defender有时可能并没有完全删除干净恶意软件 ，或是尽管删除了病毒 ，但是仍然会不断发出错误的提示信息。此时
，第三方软件则可以帮助我们再次确认威胁是否的确存在 。如果存在，则将其根除；如果根除失败，请重置操作系统。

4.重置操作系统

当所有修复都无能为力时 
，您只能采用重置Windows这一最后手段了。在重置过程中 ，Windows将删除所有已安装的应用程序
，并将所有自定义设置恢复为默认设置，但您的文件将被保持不变（如果您事先做好选择的话）
。当然，如果您对此不太熟悉的话，请参考有关将Windows设备恢复为出厂设置的指南。

五、下载文件时出现Wacatac木马警告

在从互联网上下载特定文件时 ，您也可能遇到有关Wacatac木马的警告 。对此，请暂时断开设备与互联网的连接，以阻止木马进一步渗透到您的系统，甚至感染所在网络的其他设备。接着 ，您同样可以使用Windows Defender，在自己的电脑上运行恶意软件扫描，以便确认其并非误报。

说到误报 ，值得一提的是，据报道，在下载压缩文件时
，即便是从合法来源处下载 ， Windows系统有时会出现疑似Wacatac木马的警告 ，尤其是那些带有.RAR扩展名的文件。对此
 ，请按照如下步骤操作：

复制待下载文件的链接。访问VirusTotal网站--https://www.virustotal.com/gui/home/url
。在URL扫描器中输入您访问的URL。

直接点击Enter 。

如果VirusTotal的在线扫描程序返回无恶意（malicious）的结果，那么您就可以放心地下载该文件了
 。与此同时，您只需在Windows Defender中将该文件列入白名单 ，以剔除该文件即可 。当然，如果扫描程序罗列出了各种安全供应商已判定其为恶意软件的结果，那么就请不要下载它了 。

六
、保护您的隐私免受Wacatac木马的侵扰

至此 ，您应该对Wacatac木马有所了解了。简言之，如果您的设备已被感染，那么请立即使用Windows自带的 、或第三方的工具清除之；如果疑似误报，请使用多种工具进行验证 ，以免除反复提醒 。总之，小心驶得万年船。

译者介绍

陈峻 （Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控  ，专注传播网络与信息安全知识与经验。

原文标题：What Is the Wacatac.B!ml Trojan? How to Remove It From Windows ，作者 ：SHAN ABDUL

原文链接：https://www.makeuseof.com/windows-wacatac-trojan/