目前在网络上流窜作案的木马通常都是使用TCP端口进行远程控制,但是这种木马对稍具网络安全防范意识的朋友来说是很容易被发现的。狡猾的入侵者面对这种情况,开发出了利用UDP端口的木马,这种木马的特点就是隐蔽性极好,不容易被发现。
一、情况描述
开机后,只要我拨号上网,网络防火墙就弹出一个提示窗口,询问是否允许“Internet Explorer”连接网络。我从提示框的“地址”一栏也证实了确实是IE浏览器的进程要求访问互联网,可我上网从来都只用Maxthon。原以为是系统本身的问题,便重新启动系统,可是当我拨号上网后不久,IE浏览器便要求访问互联网。对系统进行一次彻底地病毒扫描,结果一无所获。
二、根掘端口查找线索
虽然杀毒软件没有扫描出结果,但我隐隐约约感觉到这个幕后黑手可能是一个木马程序,因为流氓软件不会对系统是否联网进行判断,而很多木马才会有这个功能,之所以不被查杀可能因为它是一个全新的木马程序,也可能被入侵者进行了特征码修改的免杀操作。
再次拨号上网,防火墙又出现了IE浏览器连接互联网的请求。运行木马辅助查找器(下载地址http://www.ysye.com/soft/446.html),这是一款可以辅助用户进行恶意程序检查的工具(图1)。点击“端口信息”选项,这里用户不但可以查看到哪些端口被打开使用,还可以看到是哪些进程打开的这些瑞口,从而方便用户根据实际的情况决定是否终止进程来关闭某些端口。点击“刷新”按钮可以及时更新当前的端口情况。
图1
从查找到的信息中我发现一个特别的地方,就是IE浏览器的进程居然用的是UDP协议,也就是说这个木马程序也用的是UDP办议。而正常情况下,不管是IE浏览器的网络访问,还是我们常见的木马程序在进行数据传输的时候,都是采用TCP协议。
现在我只要查找到哪些木马程序是采用UDP协议进行数据传输的,就可以判断出是什么木马程序在作祟。通过上网搜索,发现只有一种名为神气儿的国产木马是采用UDP协议进行数据传输的(图2)。
图2
事后查出,神气儿是国内第一款UDP木马,此木马号称“无进程、无服务、无DLL”。该木马是以系统服务为启动方式,使用者可以自定义木马启动服务的名称、服务端程序的名称、安装目录以及上线的端口等,增加了发现此木马的难度。
更多内容请看PCdog.com--UDP协议专题
