自从去年诺顿杀毒软件误杀系统文件后，它在用户心目中的地位就有所下降。谁知道这家伙竟不知悔改。在前段时间曝出一个2967端口高危漏洞以后。居然默不作声地像没有任何事发生一样。任由我等诺顿的用户成为黑客手中的“肉鸡”。真不知道它是保护系统安全的，还是在系统中为黑客充当帮凶的。下面。我就模拟黑客的攻击，让大家看清这个高危漏洞对我们系统的危害。
　　
　　前期准备
　　
　　首先配置一个木马服务端，其容量尽量要小，因此我选择的是GhOst RAT木马。点击其客户端中的“Settings”标签，在“主机／域名”和“端口”中分别设置连接的IP地址和端口。这时在“上线字串”中会出现一段字符串，将其复制后点击“Build”标签，在“域名上线字串”中粘贴这段字符串即可。最后，点击“生成服务端”按钮，并将生成的服务端文件上传到自己的网络空间中。
　　
　　扫描漏洞
　　
　　运行《纯真IP地址数据库》的管理工具，选择“地址叫P段”这一项，并在“查询字段”中根据需要输入IP地址信息。比如我这里输入“美国”，因为美国拥有许多的诺顿用户，然后点击“查询”按钮就可以获得大量的美国IP地址段。下面运行《诺顿自动溢出机》，它会自动识别操作系统的版本，从而采取相应的扫描方式。比如WinXP默认的扫描方式是TCP，而Win2000和Win2003则默认为SYN扫描。现在选择一段美国的IP地址填入窗口，点击“扫描漏洞”按钮。
　　
　　定制黑招
　　
　　在利用《诺顿自动溢出机》进行漏洞扫描的时间里，还需要进行其他内容信息的修改。打开《诺顿自动溢出机》程序目录中的up.txt文件，其中的脚本代码有两个作用：一是添加一个名为admin的隐藏的管理员账户，二是从指定的网络空间中下载木马服务端文件并执行。这里大家可以根据自己的实际情况进行修改，从而方便后面的木马上传操作。比如将misswe和123456换成自己的FTP用户名和密码，misswe.3322.org换成自己网络空间的FTP地址，muma.exe替换成自己的木马服务端文件名等。
　　
　　溢出传马
　　
　　当漏洞端口扫描完成以后，点击《诺顿自动溢出机》中的“整理IP”按钮，在弹出的文本记录窗口中可以看到多个开放2967端口的IP地址(2967端口就是诺顿用于数据通信的端口)。这里我们将IP地址以外的信息，包括端口信息、介绍信息等全部删除，并点击“批量溢出”按钮，设置自己的公网IP地址(局域网用户必须使用端口映射，否则溢出数据无法连接到本机)。当《诺顿自动溢出机》开始批量溢出时，会弹出多个命令提示符窗口，溢出成功后就可以通过FTP命令上传木马服务端文件了。如果你觉得手工上传太麻烦，可以点击其窗口中的“全自动溢出抓鸡”按钮，这样它就能自动完成木马的上传操作了。当对方的电脑中了木马之后，自然就成了你任意控制的“肉鸡”。
　　
　　防范方法
　　
　　如果你也是诺顿的用户，并且不想自己的电脑成为黑客手中的“肉鸡”的话，那么有两个防范方法可以考虑：一是卸载诺顿，使用其他的杀毒软件；二是安装一个好用的网络防火墙，来屏蔽诺顿使用的2967端口(由于无法扫描到这个端口，黑客也就无法进行溢出控制操作了)。