现在在网络上流传的做木马,通常都是使用tcp端口进行远程控制,但是这种木马的漏洞就是只要你的安全意识足够高,很容易就可以发现它,也正是由于这一点,黑客对这个程序进行了改进,开发出了利用UDP端口的木马,这种瓦的特点就是隐蔽性非常好,不容易被发现,接下来我就和大家好好的介绍一下。
首先我先来和大家描述一下情况,在我们开机之后只要拨号上网,网络防火墙就会弹出一个提示窗口,询问是否允许Internet Explorer连接网络,然后我们可以从提示框的地址中证实,这个确实是属于ie浏览器的进程要求,但是我上网一般都是使用maxthon,于是这个时候我就怀疑电脑中了病毒,并对系统进行了一次彻底的根除扫描,结果并没有发现有异常。
虽然杀毒软件并没有扫描出结果,但是我可以清晰地感觉到,这个幕后黑手一定是一个木马程序,因为流氓软件不会对系统是否联网进行判断,而且在大部分情况下,只有木马才会有这个功能,之所以不被查杀,可能是因为它是一个隐蔽性很高的全新木马程序,有可能被入侵者进行了特征码修改的免杀操作。当我再次拨号上网的时候,防火墙又出现了ie浏览器连接互联网的请求,紧接着我通过运行木马辅助器,找到了它,木马辅助器是一款可以辅助用户进行恶意程序检查的工具。它可以检查哪些端口被打开使用,还可以看到是哪些进程打开的这些端口,从而方便用户根据实际情况,决定是否终止进程来关闭某些端口,并且可以刷新及时地更新当前的端口情况。
从木马辅助器反馈的信息中,我发现了一个特别的地方,就是ie浏览器的进程,居然用的是UDP协议,也就是说,这个木马程序用的也是UDP协议,而正常情况下,不管是ie浏览器的网络访问还是我们常见的木马程序在进行数据传输的时候,都应该采用tcp协议才对。
了解到了这一点,现在我们只需要查找到那些木马程序,采用了UDP协议进行数据传输,就可以判断出潜伏的木马程序是什么。果然很快,我发现了一款木马,的确是采用UDP协议进行传输,这款木马的后门不止一种,而且可以根据木马的行为判断,比如插入浏览器进程返联端口等。通过UDP编写出来的木马一般都是无进程,无服务,无DLL。这些木马主要是以系统服务为启动方式,使用者可以自定义木马启动的服务的名称,服务端程序的名称,安装目录已经上线端口等,这样就大大增加了用户发现这个木马的难度。
由于这种木马的服务端程序都是通过系统服务来进行启动的,所以我们要通过服务管理器来查看系统中的可以服务。
在我的电脑中,选择管理命令,接着会弹出一个计算机管理窗口,然后在这些系统服务中查找可疑的服务,接着记录下这个服务的服务名称以及所知的程序路径,并且用sc删除服务,将该服务删除,接着我们在打开ie浏览器的进程,可以在第二名称窗口中查看到该进程下的所有线程,找到你认为可疑的线程并终结它就可以了。
本文来自危险漫步博客转载请注明;
本文地址:http://www.weixianmanbu.com/article/925.html
