文章大纲：

• 1、懂木马病毒的来,快
• 2、什么是"木马"病毒以及他的运行原理和与之相对应的防范对策
• 3、木马病毒的相关案例
• 4、怎么杀特洛伊木马？

懂木马病毒的来,快

也许大家都知道网上有些扫描器如letmein.exe，whoisadmin.exe等，是通过TCP的139和445端口来获取一些计算机相关信息，如计算机的名称，管理员帐号。这样便可以通过相应的攻击工具进行入侵了。当知道了管理员的帐号后，可以猜测或暴力破解其密码来获得计算机的控制权。怎么办呢？利用win2000自身的策略设置，就能解决。我们采取对本地安全设置里的"IP安全设置，在本地机器" 来进行设置，禁止TCP的139/445连接。

在进行策略设置前，首先来了解一下相应的原理吧！

一、基本原理

*** B(Server Message Block) Windows协议族，用于文件和打印共享服务。N *** (NetBIOS over TCP/IP) 使用137(UDP), 138(UDP) and 139 (TCP）来实现基于TCP/IP的NETBIOS网际互联。

在Windows NT中 *** B基于N *** 实现。 而在Windows2000中， *** B除了基于N *** 的实现，还有直接通过445端口实现。 当Win2000（允许N *** )作为client来连接 *** B服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。当Win2000（禁止N *** )作为client来连接 *** B服务器时，那么它只会尝试连接445端口，如果无响应，那么连接失败。（注意可能对方是NT4.0服务器。） 如果win2000服务器允许N *** , 那么UDP端口137, 138, TCP 端口 139, 445将开放。 如果 N *** 被禁止, 那么只有445端口开放。

二、实战操作

简单的原理就这些了，那如何实现呢？ *** 如下

1. 通过对开始-设置-控制面版-管理工具 - 本地安全策略 -（鼠标右击）IP安全策略，在本地机器。点击"管理IP筛选器表和筛选器操作"，如图1所示。

图 1

2.在"管理IP筛选器列表"选项卡上点击"添加"。

图 2

3.弹出"IP筛选器列表"窗口。

图 3

4.分别添入名称和描述，如禁用139连接。并点击"添加"，接着会出现一个IP"筛选器向导"，单击下一步。

图 4

5.到"指定IP源地址"窗口，在"源地址"中选择"任何IP地址"，点击下一步。

图 5

6.在"IP通信目标"的"目标地址"选择"我的IP地址"，点击下一步。

图 6

7.在"IP协议类型"的"选择协议类型"选择"TCP"，点击下一步。

图 7

8.在"筛选器向导"的"设置IP协议端口"里之一栏为"从任意端口"，第二栏为"到此端口"并添上"139"，点击下一步。

图 8

9.接着点击"完成" -然后再单击"关闭" 回到"管理IP筛选器表和筛选器操作"窗口。

图 9

10.选择"管理筛选器操作"选项卡点击"添加"。

图 10

11.同样会出现一个"筛先器操作向导"的窗口，点击"下一步"，在"名称"里添上"禁用139连接"。

图 11

12.按"下一步"，并选择"阻止"，再按"下一步"。

图 12

点击"完成"和"关闭"。

到这里"禁止139连接"的策略算是制定好了。不用多说了，禁用445端口的"筛选器列表"和"筛选器操作"的添加是和"禁止139连接"的 *** 一样的! 有一点，是需要注意的在添加139和445的筛选器操作时，不能为了省事用同一个"阻止"筛选器操作，这样制定出的规则将无法使用。

13.当禁止139/445的操作都完成后，回到"IP安全策略，在本地机器" ，通过右击创建"IP安全策略"

图 13

14.会出现一个"IP安全策略向导"的窗口，直接点击"下一步"，在"名称"添入"禁用139/445连接"，一直点击"下一步"到"完成"。

图 14

15.在"禁用139/445连接 属性"里点击"添加"。

图 15

16.会出现一个"安全规则向导"窗口，一直点击"下一步"到"IP筛选器列表"选择"禁用139连接"，点击"下一步"。

图 16

17.在"筛选器操作"选择"禁用139连接"，点击"下一步"，接着点去"完成"和"确定"。

图 17

18. 此时，可以通过"添加"将禁用445端口的筛选器列表和操作也加进去。

图 18

19.接着是一直点击"下一步"，到"IP筛选器列表"，选择"禁用445连接"，点击"下一步"。

图 19

20.此时，已经完成了所有的配置。点击"关闭"。回到"属性"窗口，设置好的窗口呈现如下 。

图 20

21.最后，将我们刚才配置好的"禁用139/445连接"的安全策略指派即可。大功告成啦！

图 21

当然，如果你已有了自己的策略或使用系统自代的策略也是可以通过添加规则的 *** 来实现禁用139/445的目的，但创建"IP筛选器列表"和"管理筛选器操作"是一定要作的。同理你也可以通过IP安全设置里，对ICMP进行策略的制定，限制ping工具的使用。现用在用letmein之类的扫描器再试试吧！

附：这是未作禁用139/445策略时，用letmein.exe和whoisadmin.exe的探测结果，如下图：

图 22

图 23

作过禁用139/445策略后的探测结果就变成了这样，如下图：

图 24

注：以上的测试是在域控制器上作的，如果不是的话，在2000server上操作的过程中会有如下的提示：

图 25

不需要去管它，点击"是"就可以了!

什么是"木马"病毒以及他的运行原理和与之相对应的防范对策

1、木马病毒是一种专门用来偷取用户资料的病毒.

2、不会破坏程序.但会把你的 *** 密码.游戏帐号和密码.等发给编写病毒的人

3、可以用木马克星这个软件来查。（在网上搜索）

4、不要打开陌生的链接。不要轻易在网上下载文件。

5、无明显表现。只有你的 *** 丢了。或者邮箱丢了。你才会发现。

6、可以杀木马的软件来杀。比如木马克星。噬菌体等。

建议你用卡巴杀毒软件+瑞星防火墙+360安全卫士+系统优化大师更好再加上 *** 医生,这样系统就会很安全,我现在的系统就是这样的,可以称的上百毒不侵了,你也试试看,关键你还得会用这些软件!

木马病毒的相关案例

因好莱坞大片《特洛伊》而一举成名的“木马”（Trojan），在互联网时代让无数网民深受其害。无论是“ *** ”、“网银”还是“网游”的账户密码，只要与钱有关的 *** 交易，都是当下木马攻击的重灾区，用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。

No1：“支付大盗”

“支付大盗”花钱上百度首页。

2012年12月6日，一款名为“支付大盗”的新型 *** 木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”，诱骗网友下载运行木马，再暗中劫持受害者网上支付资金，把付款对象篡改为黑客账户。

No2：“新鬼影”

“新鬼影”借《江南Style》疯传。

火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR（主引导扇区）中，如果用户电脑没有开启安全软件防护，中招后无论重装系统还是格式化硬盘，都无法将其彻底清除干净。

No3：“图片大盗”

“图片大盗”更爱私密照。

绝大多数网民都有一个困惑，为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片，并筛选大小在100KB到2MB之间的文件，暗中将其发送到黑 *** 务器上，对受害者隐私造成严重危害。

No4：“浮云”

“浮云”木马震惊全国。

　盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单，却在后台执行另外一个高额定单，用户确认后，高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃

No5：“黏虫”

“黏虫”木马专盗 *** 。

　“ *** 黏虫”在2011年度就被业界评为十大高危木马之一，2012年该木马变种卷土重来，伪装成 *** 登录框窃取用户 *** 帐号及密码。值得警惕的是不法分子盗窃 *** 后，除了窃取帐号关联的虚拟财产外，还有可能假冒身份向被害者的亲友借钱。

No6：“怪鱼”

“怪鱼”木马袭击微博。

2012年十一长假刚刚结束，一种名为“怪鱼”的新型木马开始肆虐 *** 。该木马充分利用了新兴的社交 *** ，在中招电脑上自动登录受害者微博帐号，发布虚假中奖等钓鱼网站链接，绝对是2012年更具欺骗性的钓鱼攻击方式之一。

No7：“打印机木马”

“打印机木马”疯狂消耗纸张。

2012年6月，号称史上最不环保的“打印机木马”（Trojan.Milicenso）现身，美国、印度、北欧等地区大批企业电脑中招，导致数千台打印机疯狂打印毫无意义的内容，直到耗完纸张或强行关闭打印机才会停止。

No8：“网银刺客”

“网银刺客”木马暗算多家网银。

2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发，该木马恶意利用某截图软件，把正当合法软件作为自身保护伞，从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金，影响十余家主流网上银行。

No9：“遥控弹窗机”

“遥控弹窗机”木马爱上偷菜。

“遥控弹窗机”是一款伪装成“ *** 农牧餐大师”等游戏外挂的恶意木马，运行后会劫持正常的 *** 弹窗，不断弹出大量低俗页面及 *** 钓鱼弹窗，并暗中与黑 *** 务器连接，随时获取更新指令，使受害者面临 *** 帐号被盗、个人隐私泄露的危险。

No10：“Q币木马”

“Q币木马”元旦来袭。

新年历来是木马病毒活跃的高峰期，2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假 *** 弹窗，诱骗中招用户在Q币充值页面上进行支付，充值对象则被木马篡改为黑客的 *** 号码，相当于掏钱替黑客买Q币。

No11: “修改中奖号码”

2009年6月，深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点，深圳市某技术公司软件开发工程师程某，利用在深圳福彩中心实施技术合作项目的机会，通过木马程序，攻击了存储福彩信息的数据库，并进一步进行了篡改彩票中奖数据的恶意行为，以期达到其牟取非法利益的目的。

怎么杀特洛伊木马？

在查杀特洛伊木马的时候，我们可以使用以下的 *** 。

之一、禁用系统还原。防止我们在以后还原系统的时候不小心把木马也还原回来。

第二、断网。防止黑客利用木马继续窃取我们的数据。

第三、将电脑启动到安全模式。防止木马随系统启动。 *** 是在开机的时候按F8 键，在出现的菜单中选择安全模式。

第四、删除IE和系统的临时文件和IE的历史记录。这些地方时网页木马更爱安家的地方。

第五、使用专业工具进行查杀。如防病毒软件和各种专杀工具等。