木马的检测与清除（灰鸽子）

木马程序不同于病毒程序，通常并不像病毒程序那样感染文件。木马一般是以寻找后门、窃取密码 和重要文件为主，还可以对电脑进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性。由于木马具有很强的隐蔽性，用户往往是在自 己的密码被盗、机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马，如何对木马进行清除和防范。

1.   木马检测

木 马通常是基于TCP、UDP、ICMP协议进行Client端与Server端之间的通讯的。安克氏软件的萨客嘶入侵检测系统是基于协议分析，能准确跟踪 网络连接的会话,并对其通信中的TCP/IP数据报进行重组，当它发现你的网络中存在木马病毒后会立即中断或干扰木马通信，保护你的网络免受攻击，是用于 检测木马的好工具（下载地址:http://www.ax3soft/download/Sax2_Evaluation_Setup(409). exe，系统安装好后立即手工升级安全策略知识库），下面我们将介绍怎样采用萨客嘶入侵检测系统来检测网络中是否存在灰鸽子木马。

           首先启动萨客嘶入侵检测系统并切换“EVENTS”页面，如果网络中存在灰鸽子木马通信，系统将立即报警并中断木马通信，如下图：

2.  清除

首先根据事件日志中的目标地址找到感染灰鸽子病毒的计算机，如示例中的“192.168.1.2”,一般都是内网地址。然后使用灰鸽子专用清除工具清除灰鸽子。

下载地址：

http://www.366tian.net/soft/data/soft/875.html

3.   防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户。

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用， 能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防 护

4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。这些都可以用winxp总管等优化软件关闭。WinXP 总管 v4.9.3 中文注册版http://www.366tian.net/soft/data/soft/219.html

5. 不要随便打开或运行陌生、可疑文件和程序，如邮件中的奇怪附件，外挂程序等。