反弹型木马防范篇
为了防范越来越猖獗的反弹型木马,我们为你准备了以下的措施,通过对网络自身的设置,以及软件的帮助,你能更好的防护反弹型木马对你的攻击:
一、关闭不用的端口
默认情况下Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑,为了让你的系统铜墙铁壁,应该封闭这些端口,主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口,一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),以及远程服务访问端口3389。
137、138、139、445端口都是为共享而开的,是NetBios协议的应用,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始”/控制面板/系统/硬件/设备管理器,单击“查看”菜单下的“显示隐藏的设备”,单击“非即插即用驱动程序”,找到Netbios over Tcpip禁用该设备,重新启动后即可。
关闭UDP123端口:单击“开始”/设置/控制面板,双击“管理工具”/服务,停止windows time服务即可,关闭UDP 123端口,可以防范某些蠕虫病毒。
关闭UDP1900端口:在控制面板中双击“管理工具”/服务,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。
其他端口你可以用网络防火墙关闭之,或者在控制面板中,双击“管理工具”/本地安全策略,选中“IP 安全策略,在本地计算机”,创建 IP 安全策略来关闭这些端口。
二、安装杀毒软件
及时安装升级杀毒软件(例如KV2004等)及其病毒库,并及时给系统打上的安全补丁。上网时要特别注意,木马无处不在!不要随意下载来历不明的文件,只下载使用官方的升级程序;不要接收陌生人的邮件,如果有附件,也不要打开附件,更不要执行附件中的可执行程序,注意病毒程序伪装的图标,不要轻信图标为“电子表格、文本文件、文件夹”的附件。
三、使用反木马软件
使用专门的反木马软件,及时升级软件和病毒库,这是查杀木马最简单的方法。目前反木马软件数量众多,著名的有金山毒霸木马专杀、诺顿安全特警、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。
1、金山毒霸木马专杀
金山木马专杀既是一个木马专杀工具(可以查杀2万多种木马),又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。
2、诺顿安全特警
诺顿安全特警(NIS2004)是塞门铁克公司推出了优秀的网络安全软件,能够查杀木马病毒、进行入侵检测,具备个人防火墙等功能;软件新增加的反垃圾邮件功能非常实用,多网络环境支持、Web助手等新功能也很贴心。在网络木马和病毒越来越多的今天,有必要请一个“特警”回来护驾,不过,它体积大、资源占用过多。
3、木马克星(Iparmor)
木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。
4、Anti-Trojan Shield
Anti-Trojan Shield是一款享誉欧洲的专业木马侦测、拦截及清除软件,目前可以查杀9468种木马和病毒,其特点是界面简捷,虽是英文但只要你会用杀毒软件,就能很容易操作该软件。
5、TrojanHunter(木马猎手)
TrojanHunter是一款非常不错的防木马软件,可以在Win9X/NT/2000/XP系统中运行,能够发现流行的木马。
6、The Cleaner Professional
The Cleaner Professional 是MooSoft公司开发的查杀木马软件,可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。软件包括Cleaner、TCActive、TCMonitor等组件,其中Cleaner专门查杀木马等病毒,TCActive用来显示当前正在运行的所有进程,TCMonitor负责后台监视系统文件和注册表是否被修改,如果发现被修改即报警。
7、木马清除大师正式版
木马清除大师(BeatTrojan)能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门,查杀率在95%以上,正式版还加强了对第五代木马的查杀,更加人性化的进程管理设计,能完美的查杀各种无进程木马。
四、使用第三方防火墙
Win XP自带的放火墙和ADSL猫的NAT方式,只能防止从外到内的连接,不能阻挡从内到外的连接,因此这类防火墙不能阻挡反弹型木马。
防范反弹型木马,最好的办法是安装使用第三方防火墙。因为一般的防火墙,都可以设置应用程序访问网络的权限,你可以把怀疑为木马的程序,设置成不允许访问网络,这样就能阻挡木马从内到外的连接。建议你安装使用天网防火墙、诺顿防火墙等一些著名的防火墙软件,这类防火墙各大网站都有下载。
五、在线安全检测
按照上面的方法查杀木马后,如果你还不放心,可以在网上找个在线安全测试的网站,对你的系统当前安全情况进行检查,不过在线检测前,请关闭你的防火墙。目前这类测试各网站都是免费的,建议你去下面知名的网站测试:
诺顿是网络安全的鼻祖,它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描,利用木马常用的方法尝试与你的电脑进行Internet 通信;它还可以扫描你的网络漏洞、NetBIOS可用性,确定黑客是否能访问你机器中的信息。扫描完成后,会显示详细的分析结果。
著名的杀毒厂商金山公司提供的在线木马专杀服务,目前该服务完全免费。
.net.cn/main/view.php?cid=170" target=_blank>3、天网安全在线
可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时,在倒数时间内,如果你的电脑出现蓝屏死机,则表示你的电脑不安全,你可以下载该网站提供的个人电脑网络安全软件,来修补目前的安全漏洞。
免费检查你的电脑有那些端口开放或关闭,是否有木马;与“北京趋势科技”合作,提供了在线按需扫描病毒服务。
蓝盾安全实验室研制、开发的在线安全检测系统,可以检查你的系统中是否有漏洞,可扫描你的端口,检查你的电脑中是否有木马和信息泄漏。
六、经常用Tcpview观察连接情况
为了防范未知的反弹型木马,你可以经常使用Tcpview检查连接情况(如下图7),这样就能随时发现哪个连接有可能是非法连接。
图 7
例如上图中本机的TCP 135端口正在监听,众所周知,135端口是RPC服务打开的端口,如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也就关机了。冲击波病毒利用的就是135端口,建议你使用第三方防火墙,设置外界不能连接本机的135端口。
注意:如果tcp协议的linsten在1025端口以上,则可能是木马,大家就要警惕了。例如上图灰鸽子打开了本机的TCP 2513端口进行监听,这是主动连接方式(非反弹连接),你可以断定这是非法连接。此时你应该右击该连接,选择连接属性,记录下执行文件的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。
[首页] [上一页] [下一页] [末页]
