51CTO读者成长计划社群招募，咨询小助手（微信号：CTOjishuzhan）

译者 | 陈峻

审校 | 重楼

在Windows Defender的例行后台安全扫描期间，您是否收到警告，声称其检测到了名为Trojan:Script/Wacatac.B!ml的威胁呢？它是否会进一步提示您：Windows Defender已经尝试过修复该威胁，但尚未成功，需要采取进一步的措施？根据此类迹象，您的计算机多半已经感染了Wacatac类型的特洛伊木马，而Windows Defender无法自动将其删除。对此，本文将和您详细探讨此类木马的概念、它会如何感染电脑，以及当它出现时，我们该采取何种措施。

一、什么是Wacatac.B!ml木马？

由于Wacatac.B!ml会通过诱骗用户去执行看似合法的文件，以进入目标Windows操作系统，因此它被Windows Defender归类为木马病毒。

通常，您的系统一旦被它感染，就会面临身份盗用、数据感染、以及各项经济损失的风险。此外，它也会在您不知情的情况下，在后台消耗大量的资源，从而导致整体性能的低下。那么问题来了，它会以何种方式进入您的电脑呢？

二、Wacatac.B!ml木马如何入侵电脑？

要了解Wacatac木马会如何渗入电脑，让我们先问自己如下几个问题：

您是否下载了破解版的应用，或使用了破解版的免费激活高级软件？

您是否从看似可疑的网站处，下载了任何旧版本的软件或应用？

在过去的几天里，您是否收到过一封看似真实的电子邮件（可能是您不记得开过的货运发票），但是当您点击电子邮件中的附件时，它好像运行了一个脚本，然后突然消失了？

您是否使用torrent文件下载了所谓免费的电影或歌曲？

您是否几天前关闭了Windows Defender或其他防病毒软件，然后再次开启和扫描自己的电脑时，发现了此木马？

如果您对上述问题的任何一个持肯定回答的话，那么您就该知道Wacatac木马是如何进入自己的电脑了。您也许会问，Windows Defender有没有可能产生误报呢？其实是有可能的。为此，我们需要事先排查一下。

三、确保Wacatac.B!ml木马警报并非误报

为了验证针对Wacatac特洛伊木马的警报不是误报，请您参照并执行如下操作步骤：

1、访问VirusTotal网站--https://www.virustotal.com/gui/home/upload，单击上面的选择文件按钮。

导航到由Windows Defender检测到的、被木马入侵的文件路径。例如：C:\WINDOWS\System32\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE\QINNLJOV.htm

2、选择并上传疑是被感染的文件。

如果扫描结果显示该文件属于正常，那么我们可以判定为误报。当然，就算文件在此显示为未检测到木马或恶意软件，我们仍然建议将无用的文件删除掉。

四、如何从设备中删除Wacatac.B!ml木马

如果您确定其为Wacatac木马并非误报，那么就需要通过如下步骤开展文件的删除工作：

1.删除已被感染的文件

我们的第一步是直接删除由Windows Defender发现的已被感染的文件。为此，请导航到类似上文提到的路径，右键单击该文件，然后按住Shift键，选择删除。

删除掉文件后，请再次在自己的电脑上运行安全检查。如果木马继续被检测到的话，请执行下一步的修复。

注意：如果Windows Defender发现的被感染文件是Windows操作系统文件，那么我们应当谨慎删除之，否则可能会导致电脑无法正常启动及进入系统。

2.手动删除威胁

Windows Security可以简化手动删除威胁的过程。请遵循如下步骤：

• 同时按下Win+I，以打开“设置”。
• 在左侧边栏中，单击“隐私与安全”。
• 在右边窗格中，单击Windows Security。

• 单击“病毒与威胁防护”。
• 然后点击“保护历史”。

• 单击Wacatac的威胁。
• 打开“操作（Actions）”下拉菜单，并选择“删除”。

请再次运行扫描。如果仍无法删除该威胁的话，请执行相同的步骤，并在“操作”的下拉列表中选择“隔离”，以防止病毒的进一步传播。

3.在安全模式下运行恶意软件扫描

通常，恶意软件的存在，会阻止Windows Defender删除受感染的文件。为了防止此类情况的发生，您应该首先将Windows 10（或Windows 11）设备启动到安全模式。据此，恶意软件将无法干扰我们删除受感染的文件等后续操作。

接着，您应该运行Microsoft Defender的脱机扫描。请记住，完整的病毒扫描可能需要一个多小时，因此请务必耐心等待其完成。在此之后，您可以通过Windows Security检查是否仍会再次报告威胁。如果仍有报告的话，则需要使用第三方的防病毒应用去进一步查杀恶意软件。

当然，Windows Defender有时可能并没有完全删除干净恶意软件，或是尽管删除了病毒，但是仍然会不断发出错误的提示信息。此时，第三方软件则可以帮助我们再次确认威胁是否的确存在。如果存在，则将其根除；如果根除失败，请重置操作系统。

4.重置操作系统

当所有修复都无能为力时，您只能采用重置Windows这一最后手段了。在重置过程中，Windows将删除所有已安装的应用程序，并将所有自定义设置恢复为默认设置，但您的文件将被保持不变（如果您事先做好选择的话）。当然，如果您对此不太熟悉的话，请参考有关将Windows设备恢复为出厂设置的指南。

五、下载文件时出现Wacatac木马警告

在从互联网上下载特定文件时，您也可能遇到有关Wacatac木马的警告。对此，请暂时断开设备与互联网的连接，以阻止木马进一步渗透到您的系统，甚至感染所在网络的其他设备。接着，您同样可以使用Windows Defender，在自己的电脑上运行恶意软件扫描，以便确认其并非误报。

说到误报，值得一提的是，据报道，在下载压缩文件时，即便是从合法来源处下载， Windows系统有时会出现疑似Wacatac木马的警告，尤其是那些带有.RAR扩展名的文件。对此，请按照如下步骤操作：

• 复制待下载文件的链接。
• 访问VirusTotal网站--https://www.virustotal.com/gui/home/url。
• 在URL扫描器中输入您访问的URL。

直接点击Enter。

如果VirusTotal的在线扫描程序返回无恶意（malicious）的结果，那么您就可以放心地下载该文件了。与此同时，您只需在Windows Defender中将该文件列入白名单，以剔除该文件即可。当然，如果扫描程序罗列出了各种安全供应商已判定其为恶意软件的结果，那么就请不要下载它了。

六、保护您的隐私免受Wacatac木马的侵扰

至此，您应该对Wacatac木马有所了解了。简言之，如果您的设备已被感染，那么请立即使用Windows自带的、或第三方的工具清除之；如果疑似误报，请使用多种工具进行验证，以免除反复提醒。总之，小心驶得万年船。

陈峻 （Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。

原文标题：What Is the Wacatac.B!ml Trojan? How to Remove It From Windows，作者：SHAN ABDUL

原文链接：https://www.makeuseof.com/windows-wacatac-trojan/