現(xiàn)在在網(wǎng)絡(luò)上流傳的做木馬，通常都是使用tcp端口進行遠程控制，但是這種木馬的漏洞就是只要你的安全意識足夠高，很容易就可以發(fā)現(xiàn)它，也正是由于這一點，黑客對這個程序進行了改進，開發(fā)出了利用UDP端口的木馬，這種瓦的特點就是隱蔽性非常好，不容易被發(fā)現(xiàn)，接下來我就和大家好好的介紹一下。

首先我先來和大家描述一下情況，在我們開機之后只要撥號上網(wǎng)，網(wǎng)絡(luò)防火墻就會彈出一個提示窗口，詢問是否允許Internet Explorer連接網(wǎng)絡(luò)，然后我們可以從提示框的地址中證實，這個確實是屬于ie瀏覽器的進程要求，但是我上網(wǎng)一般都是使用maxthon,于是這個時候我就懷疑電腦中了病毒，并對系統(tǒng)進行了一次徹底的根除掃描，結(jié)果并沒有發(fā)現(xiàn)有異常。

雖然殺毒軟件并沒有掃描出結(jié)果，但是我可以清晰地感覺到，這個幕后黑手一定是一個木馬程序，因為流氓軟件不會對系統(tǒng)是否聯(lián)網(wǎng)進行判斷，而且在大部分情況下，只有木馬才會有這個功能，之所以不被查殺，可能是因為它是一個隱蔽性很高的全新木馬程序，有可能被入侵者進行了特征碼修改的免殺操作。當我再次撥號上網(wǎng)的時候，防火墻又出現(xiàn)了ie瀏覽器連接互聯(lián)網(wǎng)的請求，緊接著我通過運行木馬輔助器，找到了它，木馬輔助器是一款可以輔助用戶進行惡意程序檢查的工具。它可以檢查哪些端口被打開使用，還可以看到是哪些進程打開的這些端口，從而方便用戶根據(jù)實際情況，決定是否終止進程來關(guān)閉某些端口，并且可以刷新及時地更新當前的端口情況。

從木馬輔助器反饋的信息中，我發(fā)現(xiàn)了一個特別的地方，就是ie瀏覽器的進程，居然用的是UDP協(xié)議，也就是說，這個木馬程序用的也是UDP協(xié)議，而正常情況下，不管是ie瀏覽器的網(wǎng)絡(luò)訪問還是我們常見的木馬程序在進行數(shù)據(jù)傳輸?shù)臅r候，都應(yīng)該采用tcp協(xié)議才對。

了解到了這一點，現(xiàn)在我們只需要查找到那些木馬程序，采用了UDP協(xié)議進行數(shù)據(jù)傳輸，就可以判斷出潛伏的木馬程序是什么。果然很快，我發(fā)現(xiàn)了一款木馬，的確是采用UDP協(xié)議進行傳輸，這款木馬的后門不止一種，而且可以根據(jù)木馬的行為判斷，比如插入瀏覽器進程返聯(lián)端口等。通過UDP編寫出來的木馬一般都是無進程，無服務(wù)，無DLL。這些木馬主要是以系統(tǒng)服務(wù)為啟動方式，使用者可以自定義木馬啟動的服務(wù)的名稱，服務(wù)端程序的名稱，安裝目錄已經(jīng)上線端口等，這樣就大大增加了用戶發(fā)現(xiàn)這個木馬的難度。

由于這種木馬的服務(wù)端程序都是通過系統(tǒng)服務(wù)來進行啟動的，所以我們要通過服務(wù)管理器來查看系統(tǒng)中的可以服務(wù)。

在我的電腦中，選擇管理命令，接著會彈出一個計算機管理窗口，然后在這些系統(tǒng)服務(wù)中查找可疑的服務(wù)，接著記錄下這個服務(wù)的服務(wù)名稱以及所知的程序路徑，并且用sc刪除服務(wù)，將該服務(wù)刪除，接著我們在打開ie瀏覽器的進程，可以在第二名稱窗口中查看到該進程下的所有線程，找到你認為可疑的線程并終結(jié)它就可以了。

本文來自危險漫步博客轉(zhuǎn)載請注明；

本文地址：http://www.weixianmanbu.com/article/925.html