局域網(wǎng)內(nèi)電腦中了木馬病毒，會(huì)有帶來(lái)下述壞處：

1. 感染內(nèi)網(wǎng)其他電腦。

2. 大量攻擊數(shù)據(jù)的存在，使得網(wǎng)絡(luò)緩慢，被攻擊的電腦運(yùn)行緩慢。

發(fā)現(xiàn)內(nèi)網(wǎng)電腦中毒后，一般都會(huì)采取重新安裝系統(tǒng)，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進(jìn)行病毒查殺。有些殺毒軟件或者防火墻可以檢測(cè)到內(nèi)網(wǎng)的攻擊源，本文中，我將介紹如何用WSG上網(wǎng)行為管理的“木馬檢測(cè)”功能來(lái)進(jìn)行檢測(cè)。WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測(cè)”這兩個(gè)安全防護(hù)模塊，如下圖：

入侵防御模塊主要用于檢測(cè)對(duì)內(nèi)網(wǎng)主機(jī)的攻擊，一旦檢測(cè)到外網(wǎng)攻擊就可以阻止攻擊源，從而保護(hù)內(nèi)網(wǎng)的服務(wù)器資源。而木馬檢測(cè)模塊主要用于檢測(cè)內(nèi)網(wǎng)的木馬病毒特征，從而追蹤查找到中了木馬病毒的終端電腦。木馬檢測(cè)模塊，可以檢測(cè)以下特征：

WSG上網(wǎng)行為管理的特征庫(kù)是基于snort的，木馬檢測(cè)分為以下幾個(gè)大類：

1. indicator-compromise: 檢測(cè)內(nèi)網(wǎng)被惡意軟件感染的終端。

2. indicator-obfuscation: 惡意軟件的模糊特征檢測(cè)。

3. indicator-scan： 檢測(cè)惡意軟件的掃描行為。

4. indicator-shellcode：檢測(cè)shellcode的執(zhí)行特征。

5. malware-backdoor：檢測(cè)后門端口的通訊特征。 如果某個(gè)惡意軟件打開(kāi)一個(gè)端口并等待其控制功能的傳入命令，則會(huì)出現(xiàn)此類檢測(cè)。

6. malware-cnc：此類別包含已識(shí)別的僵尸網(wǎng)絡(luò)流量的已知惡意命令和控制活動(dòng)。

7. malware-tool：此類別包含處理本質(zhì)上可被視為惡意工具的規(guī)則。

可以檢測(cè)各種挖礦、后門、病毒等各種木馬特征。如下圖：

檢測(cè)到木馬后，會(huì)在“木馬檢測(cè)”的“檢測(cè)記錄”中，記錄檢測(cè)的IP地址等信息，從而您可以根據(jù)IP地址去定位實(shí)際的電腦。然后對(duì)這臺(tái)電腦進(jìn)行查殺整改。