CERT/CC 最近發現入侵成功多半是由於在Windows 2000或Windows XP使用空字串或不當的管理者密碼設定。數以千計的系統都被用這種方式入侵。雖然這些牽涉到的工具程式看起來相當多樣，他們也有一些共同的特點：
•掃描監聽 445/tcp的系統（通常會在與受感染主機相同的/16網域）
•測試空字串與一般系統密碼去得到管理者權限
•開後門程式進行遠端控制
•連結到 Internet Relay Chat（IRC）server 去等待攻擊者的命令
•安裝或支援分散式阻斷攻擊的工具

　有一些工具程式會具自動複製（即：蠕蟲）的能力，而其他的則經由社交工程的方式散播，類似在 IN-2002-03: Social Engineering Attacks via IRC and Instant Messaging中的描述.此類入侵行為掃描的範圍很廣，但大多集中在一般家庭寬頻使用者的IP範圍。使用這些技術，許多攻擊者已經建立相當數量的 DDoS 代理人網路，每一個網路都包含數以千計已經受害的系統。

影響結果：
　在系統上發現任何此類工具的存在表示管理者的密碼可能已經被破解了，因此整個系統都變的可疑。以這種存取等級，入侵者可以：
•執行遠端控制
•接觸到機密資料
•安裝其他惡意的程式碼
•改變資料
•刪除資料
•當作跳板攻擊其他站台

　這些入侵工具會在 445/tcp 產生大量的封包。因此，有連結網路的主機或包含有被入侵主機的網路可能會遭遇到效能方面的問題(包括阻斷式攻擊的情形)。

　被分散式阻斷服務攻擊的站台可能會察覺到不尋常的大量網路流量，導致服務的速度會降地甚至於沒有回應。

修正方式：
　除了以下的步驟，CERT/CC 鼓勵一般使用者閱讀 Home Network Security 以及 Home Computer Security 文件。

•關閉資源分享資料夾
假使您的電腦不是當作是伺服器（資源分享的用途），"File and Printer Sharing for Microsoft Networks" 選項應該關閉。對於您的資源分享，請設定存取權限，對於帳戶的密碼要做妥善的設定， 此外，也建議使用防火牆來控制哪些電腦可以存取分享資料。Windows NT、2000、XP預設會建立一些隱藏的及管理用途的分享資料。可以參考HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers 得到更進一步的資訊。

•妥善設定您的密碼
在上面提到的病毒工具會利用不當的或空字串的密碼來入侵以及繁殖，因此妥善設定您的密碼可以避免您的系統遭到入侵。
請參考微軟 "Create Strong Passwords" checklist。

•執行防毒程式
雖然入侵者會持續去改進攻擊中所散佈的惡意程式碼，但是大多數的防毒軟體廠商會釋出升級資訊、工具程式或病毒碼資料庫來幫助我們偵測以及被入侵後的復原。因此，請確認您的防毒軟體有持續更新。CERT/CC 有一部分防毒軟體廠商的名單。很多防毒軟體支援自動更新病毒碼，CERT/CC 建議使用自動更新病毒碼。

•不要執行不知道來源的程式
不要下載、安裝、或執行不知名的程式，除非這個程式是您所信任的某人或某公司所撰寫的。IRC ，時傳訊程式以及檔案分享服務的使用者對於他人傳送過來的檔案連結以及程式應該特別注意，因為這通常是入侵者建立分散式阻斷服務攻擊主機的手段。

•安裝防火牆
CERT/CC 建議您使用防火牆。比如網路設備或者是個人防火牆軟體。在某些情況，可以警告使用者電腦已經被入侵。更進一步，還可以阻斷入侵者從後門非法存取。然而，沒有防火牆可以偵測所有的攻擊，因此持續遵守一些安全設定是很重要的。

•輸入/輸出 限制
當網路流量進入您所管控的網路, 輸入過濾會管理這些流量。根據一般網路使用政策，只有提供公開服務主機上的特定通訊埠才被允許接受外部主機所起始的連線。因此，應該在網路周圍進行輸入過濾，以阻止外部起始的連線存取這些沒有對外授權的服務。當網路流量離開您所管控的網路，輸出過濾會管理這些流量。一般而言內部系統不太需要跨越Internet去存取SMB分享資料。在上面提到的入侵者活動，應該對於445/tcp 作輸入輸出的限制，以降低您電腦被入侵，或您的電腦攻擊他人的風險。

•重新恢復您的系統
假如您確信您的系統已經被入侵，可以根據以下文件來回復：Steps for Recovering from a UNIX or NT System Compromise。