HHH138 - 2010-1-30 0:45:00
之所以我叫它内网木马是因为这种木马是可以绕过放火墙的,既然能绕过防火墙是因为它的边接方式不同。
我估计是利用了IP掩码吧!!!
通过一段时间的观察自以为当本机连接网页时因防火墙处于计算机最外层首先对网址进行过滤,过滤后将正常网址转化成计算机内部地址大概是以127.
0.0.1出现。通常防火对内部IP是放行的
我所认为的内部地址为0.0.0.0 或127.0.0.1 、255.255.255.255
对127.0.0.1来说大多通向此处的连接是无效的,通过防火墙观察连接可知其实不然。(原理不明)
这种木马多是DLL注入型,既将自身注入DLL文件中空白地址处。注入后无进程、无DLL、无端口。既使是有经验的管理员也难发现其藏身处(只有通过跟踪分析指令发现)
我的防御方法:1.删除感染文件(识别感染文件用防火墙可办到被感染文件通常在防火墙中为红色),使用SFC命令恢复系统文件。
2.把防火墙访问控制-选项-功能选项中除“启用瑞星信任程序智能识别模式”-项取消其它两项选中。将“不在访问规则中的程序访问网络的默认动作”全部选则拒绝。
3.防火墙-访问控制-程序规则中将SvcHost.exe选为自定义规则并点选防篡改加入以下规则:拒绝所有0.0.0.0到本机连接
可将此规则加入其它程序中(.此规则设置不当可能会导致网络连接故障)
4.对防火墙进行密码控制。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
HHH138 - 2010-1-30 0:48:00
补充一个:
IE-Internet选项-内容-证书删除所有过期证书。
sinoer - 2010-1-30 10:05:00
提供相关样本以及防火墙版本
1輩吇筷楽 - 2010-1-30 19:32:00
请楼主跟帖上传病毒样本,以便分析
tenzy - 2010-1-31 14:49:00
楼主分析有点问题。DLL注入后无进程可以说得通,无DLL说不通。。它本身就是DLL,无端口也不对,只是不用另外开端口,使用当前进程的端口。而且注入DLL绕过防火墙并不是因为他的地址是内网地址,而是它利用了系统进程,如IE或explorer,这样的系统进程,防火墙是不会拦截的,否则你的浏览器就不能上网了。
而且现在大部分木马都是此类型,楼主不必大惊小怪。
HHH138 - 2010-2-3 2:41:00
书上说的
无DLL是指木马将自已加入其它正常程序中
如:有时系统会突然提示“有不可识别的程序”极有可能是被木马注入。
如果病毒注入EXplorer.exe中该程序就以经是木马程序。
书上说:“被感染后木马就是正常程序,正常程序就是木马“
书名“编程解析精碎”
有一个DLL和OCX上传不了。
© 2000 - 2024 Rising Corp. Ltd.