可见,此类木马的最大弱点,在于攻击者必须和用户主机建立连接,木马才能起作用。所以在对外部连接审查严格的防火墙下,这样的木马很难工作起来。
而反弹式木马,在工作原理上就于常见的木马不一样。图2是反弹式木马的一般工作原理。
由于反弹式木马使用的是系统信任的端口,系统会认为木马是普通应用程序,而不对其连接进行检查。防火墙在处理内部发出的连接时,也就信任了反弹木马。
“网络神偷”是目前最常见的一种反弹式木马,它的工作原理也就是这样的。这充分说明了另一条至理名言:堡垒总是从内部被突破的。
图2 反弹式木马骗取防火墙信任
三、如何防范反弹式木马
那么,如何防范这类反弹式木马呢?
1、我们推荐大家使用个人防火墙,如《天网个人防火墙》或者《金山网镖个人防火墙》,这两款防火墙在防范反弹式木马上有优秀的表现:它们采用独特的“内墙”方式——应用程序访问网络规则,专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候,必须经过防火墙的内墙的审核。合法的应用程序被审核通过;而非法的应用程序将会被天网防火墙个人版的“内墙”所拦截。
2、再就是老生常谈了,千万不要随便运行陌生的程序;收到邮件一定要先查看附件,再运行;不要隐藏文件后缀,发现是“.EXE”一定要小心。这些都是对付木马程序应该注意的地方,在此就不赘述了。
更多内容请看PCdog.com--病毒/木马/蠕虫专题
