局域网内电脑中了木马病毒，会有带来下述坏处：

1. 感染内网其他电脑。

2. 大量攻击数据的存在，使得网络缓慢，被攻击的电脑运行缓慢。

发现内网电脑中毒后，一般都会采取重新安装系统，或者全盘杀毒的方式。但是如果电脑比较多就让人很头疼了。首先要追踪查找到感染了木马病毒的电脑，然后才可以进行病毒查杀。有些杀毒软件或者防火墙可以检测到内网的攻击源，本文中，我将介绍如何用WSG上网行为管理的“木马检测”功能来进行检测。WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护?？?，如下图：

入侵防御?？橹饕糜诩觳舛阅谕骰墓セ?，一旦检测到外网攻击就可以阻止攻击源，从而?；つ谕姆衿髯试础６韭砑觳饽？橹饕糜诩觳饽谕哪韭聿《咎卣?，从而追踪查找到中了木马病毒的终端电脑。木马检测?？?，可以检测以下特征：

WSG上网行为管理的特征库是基于snort的，木马检测分为以下几个大类：

1. indicator-compromise: 检测内网被恶意软件感染的终端。

2. indicator-obfuscation: 恶意软件的模糊特征检测。

3. indicator-scan： 检测恶意软件的扫描行为。

4. indicator-shellcode：检测shellcode的执行特征。

5. malware-backdoor：检测后门端口的通讯特征。 如果某个恶意软件打开一个端口并等待其控制功能的传入命令，则会出现此类检测。

6. malware-cnc：此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。

7. malware-tool：此类别包含处理本质上可被视为恶意工具的规则。

可以检测各种挖矿、后门、病毒等各种木马特征。如下图：

检测到木马后，会在“木马检测”的“检测记录”中，记录检测的IP地址等信息，从而您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。