今天刚刚上班不久，病毒诊所的王斌医生就接待了“病人”家属小张。看着他满头大汗的样子，听着他急切的叙述，王斌医生了解到小张的淘宝网的密码被盗。与此同时，其他的一些账户密码也同时被盗。一听密码被盗，王斌医生的头脑马上浮现出“木马”二字。那么是什么木马这么厉害呢？从小张口中得知，该木马在进入系统不久，就会出现资源管理器进程要求连接网络的提示。
　　该木马运行后不但占用了大量系统资源，而且使系统运行十分地不稳定。木马会将自己的进程插入到资源管理器的进程中，然后根据黑客设置的窗口标题关键字，去获取指定窗口的键盘输入，从而获得相关的密码信息。通过小张述说的木马特征，王医生果断地下了结论：小张的计算机系统被人种植了“红蜘蛛”木马。
红蜘蛛木马档案
　　“红蜘蛛键盘记录器”这款木马可以获取多种程序中的信息内容，比如即时通讯软件、游戏、电子邮件等等。该木马在感染系统后，会在系统的System32目录中生成RedSpider.dll和RedSpider.exe这两个文件。其中文件RedSpider.exe是木马程序的主文件，通过它来调用文件RedSpider.dll来执行，最终通过文件RedSpider.dll来获取用户的键盘输入信息。

掌握“蜘蛛”行踪
　　首先打开系统的任务管理器，通过认真的检测查看后，并没有发现其中有什么可疑的进程，王医生分析该木马可能是使用了Rootkit技术对木马进程进行了隐藏。于是运行IceSword这款可以检测到隐藏进程的工具，点击左侧工具栏中的“进程”按钮，结果和在任务管理器查看的结果一样，也没有发现任何隐藏的进程。
　　既然没有发现隐藏的进程，那么还有一种可能就是该木马使用了线程插入技术。使用线程插入技术的木马程序都有一个特点，就是喜欢将其线程插入到IE浏览器或资源管理器的进程中，这主要是由于这两个进程是Windows系统中最常见的进程。根据小张先前的提示，看来该木马最有可能将线程插入到资源管理器的进程中（图2）。
发现藏身之所
　　王医生通过鼠标选择资源管理器的进程Explorer.exe，接着在这个进程上单击鼠标右键，并选择菜单中的“模块信息”命令。然后在弹出的“进程模块信息”窗口认真查找，果然在其中发现了一个名为“RedSpider.dll”的可疑DLL文件。

　王医生接着使用System Repair Engineer（SREng）来检查该木马出现的启动项。如果 SREng发现一个可疑的项目，那么它会以颜色高亮显示从而提醒用户。点击SREng窗口中的“启动项目”按钮后，在启动列表发现了一个名为“RedSpider”的启动项。该启动项的名称和可疑DLL文件一模一样，所以它就是木马程序的启动项。
断其头斩其身
　　既然已经成功的发现木马文件的启动项，现在就可以开始清除木马了。王医生首先在SREng的“启动项目”选项中找到该木马的启动项“RedSpider”，接着点击操作窗口中的“删除”按钮将该启动项删除掉。

　　但是该木马的进程删除起来却有些麻烦，因为要删除该木马的进程，首先要结束资源管理器的进程，而资源管理器进程又是系统必须运行的进程之一，操作起来有些棘手。
　　好在IceSword可以帮用户很好的解决。首先在IceSword的进程中选择资源管理器的进程，接着打开其“进程模块信息”窗口，在窗口中找到“RedSpider.dll”后点击“强制解除”按钮即可卸载该DLL文件。最后打开系统的system32目录，找到RedSpider.dll和RedSpider.exe这两个文件进行删除。
　　随后重新启动系统再对系统的进程、启动项、系统目录进行检查，没有发现可疑文件的踪迹，确定已经将该木马程序成功的清除了。
防范第一
　　“红蜘蛛”木马主要还是通过网页木马、文件捆绑等方式进行传播。因此，我们须安装杀毒软件来进行木马程序的实时防护，尤其是脚本监控功能可以及时的发现网页中链接的网页木马。
　　最后，提醒大家注意，资源管理器的进程是一个本地进程，如果有一天防火墙提示你该进程需要访问网络，那么这个进程一定是被恶意程序所利用了。