一般的木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序；攻击者要做的第一步是要把木马的服务器端程序植入到你的电脑里面。

目前木马入侵的主要途径有邮件附件、下载软件、网页挂马、U盘自动执行、msn或QQ文件传送等，然后通过一定的提示故意误导用户打开执行文件，比如某天你在上网时，突然msn弹出个窗口，有个朋友给你发了条短消息“KAN WO DE ZHAOPIAN ”（看我的照片），并随后发送一个zip压缩文件包，如photo.rar请你接收；你以为是好友发过来的照片文件，一旦点击就会中招，木马已经悄悄在你的后台运行，之后向你的msn好友列表大肆滥发消息传播，中毒的机器还会在你的电脑上留有后门，可供黑客远程控制。一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马。国家计算机病毒应急处理中心近来通过对互联网监测发现，很多计算机用户受到一些恶意木马程序的威胁。目前，恶意木马程序有以下几个特点：（1）恶意木马会利用系统漏洞或第三方软件漏洞进行传播感染，（2）恶意木马传播途径大部分会采用网页挂马的形式，（3）恶意木马具有很强的隐蔽性和破坏力。

木马具有多种特性，典型的有：隐蔽性、自动运行性、自动恢复功能、能自动打开特别的端口、包含具有未公开并且可能产生危险后果的功能的程序等。

典型的“轮渡”木马，其程序的特征就是：在移动U盘内驻存隐藏文件AutoRun.Inf和sys.exe，当该移动U盘接入A电脑时，病毒程序自动运行，将A电脑内的涉密文档下载并打包保存在隐藏文件中，当该移动U盘插入B电脑时，就会将从A电脑中下载的文件传入到B电脑。这样，如果是移动U盘在内网中使用，就有可能造成加密文挡在内网不同电脑间的传播；如果将移动U盘插入外网电脑，加密文裆就可能通过互联网，被窃密者远程下载。

构建木马控免体系

绿盟科技根据用户的安全需求及当前的安全形势，建议在政府内部办公网构建木马控免体系，从办公电脑和网络出口两方面入手，在办公电脑上安装内网安全管理系统代理，在网络出口部署安全网关，在木马传播过程中可能的关键点上，进行有效防护和控制；

（1） 首先确保办公电脑安全，对受控的内网办公电脑进行基线安全检查，对不满足基线安全要求的办公电脑通过内网安全管理系统和补丁系统、杀毒软件联动，主动进行补丁更新、病毒库升级，防止办公电脑自身存在安全漏洞被木马、病毒利用；利用内网安全管理系统的主机入侵保护、主机防火墙、防ARP木马欺骗等功能保护政府办公电脑，防止木马入侵及木马传播等；近来网页挂马愈演愈烈，内网安全管理系统的网页防挂马可以防止用户在用IE浏览网页时系统被悄无声息地注入木马。

（2） 对办公电脑应用系统的防护也是很重要的，通过软件名称关键字监控指定软件的安装使用行为，对非法安装使用的软件实时监控并告警；一旦发现木马入侵运行即可及时通知管理员进行处理；利用内网安全管理系统中终端审计功能，包括文件、系统、日志三部分，系统一旦发现内部员工违规操作、越权访问等行为，能及时报警；

（3） 控制U盘、移动硬盘、光驱等外设的使用，管理员可以对USB外设进行注册授权认证，注册认证过的USB外设才可以在内网使用，而加密的U盘则无法在别的电脑上打开，这样能有效地管理控制USB外设滥用行为；在安全控制方面，系统能够对存放于U盘或光盘上的Windows“自动播放”进行控制，防止autorun病毒木马传播与扩散。

（4） 利用内网安全管理系统中的非法外联检测功能，管理内网办公电脑的modem、无线网卡使用，防止私自拨号上网，防止非法外联泄密。

（5） 系统执行准入控制，设置准入的安全策略对接入设备进行验证，保证认证通过的机器才能接入网络，防止存在安全隐患或未经授权的机器接入内网，对第三方要求接入的设备都要进行木马、病毒查杀。

（6） 网络出口安全是最后的防线，通过在政府网络出口及各委办局接入网的网络出口部署安全网关，能够很好地控制不同网段的访问，隔离互联网，防范黑客的攻击及木马、蠕虫等恶意软件入侵；作为绿盟自主研发的两个产品，内网安全管理系统和安全网关可以实现联动，可以实现在网关出口限制未安装代理软件终端对外网连接，从而禁止非法终端通过网关出口泄露内网信息。

综上所述，政府木马控免解决方案从主机安全防护、应用软件监控、外设访问控制、非法外联检测、安全准入控制、出口安全防护等多个角度构建一套完整的木马控免体系；通过技术手段保障内部网络系统不受木马侵扰，安全管理制度有效落实在行动上，可以有效斩断木马、病毒等恶意软件的传播，防止机密信息泄露。