如果壹個企業網絡曾經遭受病毒和Email蠕蟲的肆虐,那麽這個網絡很可能也是特洛伊木馬的首選攻擊目標。由於木馬會被綁定程序和攻擊者加密,因此對於常規的反病毒軟件來說,查找木馬要比查找蠕蟲和病毒困難得多。另壹方面,特洛伊木馬造成的損害卻可能遠遠高於普通的蠕蟲和病毒。因此,檢測和清除特洛伊木馬是系統管理員的首要任務。
要反擊惡意代碼,最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠檢測出大多數特洛伊木馬,並盡可能地使清理過程自動化。許多管理員過分依賴某些專門針對特洛伊木馬的工具來檢測和清除木馬,但某些工具的效果令人懷疑,至少不值得完全信任。不過,Agnitum的Tauscan確實稱得上頂級的掃描軟件,過去幾年的成功已經證明了它的效果。
特洛伊木馬入侵的壹個明顯證據是受害機器上意外地打開了某個端口,特別地,如果這個端口正好是特洛伊木馬常用的端口,木馬入侵的證據就更加肯定了。壹旦發現有木馬入侵的證據,應當盡快切斷該機器的網絡連接,減少攻擊者探測和進壹步攻擊的機會。打開任務管理器,關閉所有連接到Internet的程序,例如Email程序、IM程序等,從系統托盤上關閉所有正在運行的程序。註意暫時不要啟動到安全模式,啟動到安全模式通常會阻止特洛伊木馬裝入內存,為檢測木馬帶來困難。
大多數操作系統,當然包括Windows,都帶有檢測IP網絡狀態的Netstat工具,它能夠顯示出本地機器上所有活動的監聽端口(包括UDP和TCP)。打開壹個命令行窗口,執行“Netstat -a”命令就可以顯示出本地機器上所有打開的IP端口,註意壹下是否存在意外打開的端口(當然,這要求對端口的概念和常用程序所用的端口有壹定的了解)。
顯示了壹次Netstat檢測的例子,檢測結果表明壹個Back Orifice使用的端口(即31337)已經被激活,木馬客戶程序使用的是遠程機器(ROGERLAP)上的1216端口。除了已知的木馬常用端口之外,另外還要特別留意未知的FTP服務器(端口21)和Web服務器(端口80)。
但是,Netstat命令有壹個缺點,它能夠顯示出哪些IP端口已經激活,但卻沒有顯示出哪些程序或文件激活了這些端口。要找出哪個執行文件創建了哪個網絡連接,必須使用端口枚舉工具,例如,Winternals Software的TCPView Professional Edition就是壹個優秀的端口枚舉工具。Tauscan除了能夠識別特洛伊木馬,也能夠建立程序與端口的聯系。另外,Windows XP的Netstat工具提供了壹個新的-o選項,能夠顯示出正在使用端口的程序或服務的進程標識符(PID),有了PID,用任務管理器就可以方便地根據PID找到對應的程序。
如果手頭沒有端口枚舉工具,無法快速找出幕後肇事者的真正身份,請按照下列步驟操作:尋找自動啟動的陌生程序,查找位置包括註冊表、.ini文件、啟動文件夾等。然後將機器重新啟動進入安全模式,可能的話,用Netstat命令確認壹下特洛伊木馬尚未裝入內存。接下來,分別運行各個前面找出的有疑問的程序,每次運行壹個,分別用Netstat命令檢查新打開的端口。如果某個程序初始化了壹個Internet連接,那就要特別小心了。深入研究壹下所有可疑的程序,刪除所有不能信任的軟件。
Netstat命令和端口枚舉工具非常適合於檢測壹臺機器,但如果要檢測的是整個網絡,又該怎麽辦?大多數入侵檢測系統(Intrusion Detection System,IDS)都具有在常規通信中捕獲常見特洛伊木馬數據包的能力。FTP和HTTP數據具有可識別的特殊數據結構,特洛伊木馬數據包也壹樣。只要正確配置和經常更新IDS,它甚至能夠可靠地檢測出經過加密處理的Back Orifice和SubSeven通信。請參見http://www.snort.org,了解常見的源代碼開放IDS工具。