去下载了 BitComet 1.03,修改了 WinXP SP3 的 TCP 连接数限制。准备拿 TCPView 看看效果,没想到却吓了自己一跳。
看的时候,发现 [System Process]:0 有好几个 TCP 连接,状态是 TIME_WAIT,源地址是本地动态端口,对方地址是一个不认识的 IP,端口 80。
不是吧?!难道我中了传说中的反弹木马?我一直洁身自好,再说最近也没发现什么可疑情况啊!
再看,发现都是 80 端口。仔细研究那几个IP地址,倒是很吓了我一跳。在搜索引擎上查了一下,口碑都不好。而且有一些能直接IE打开,很明显是刷流量的 IP 地址。汗!什么时候中的马?我都不知道啊!
219.232.243.55
220.181.37.169
220.181.38.110
220.181.38.74
220.181.5.22
61.172.203.141
210.51.42.210
61.152.242.254
65.55.199.195
65.55.199.153
124.238.254.119
124.238.254.38
211.100.21.5
211.100.21.6
124.238.254.49
121.14.88.235
219.232.241.144
59.151.3.120
61.129.48.125
61.152.167.78
61.174.60.71
58.61.166.174
222.76.218.18
……
一个个杀进程,好像没有什么效果。而且 TCPView 明明说了是 [System Process]:0,也就是说不是任何已知的进程了。ProcessExplorer 也看不出什么来。仔细检查了启动项,把IE的加载项全部禁用掉,然而还是会出现。这种神秘的 TCP 连接出现的时机似乎和 IE 也有点关系,但是也不是完全有关。iexplore.exe 的连接是很正常的。无奈,只好拿出前不久刚准备好的虚拟机来做试验了。
在 XP 虚拟机上首先装上 TCPView 监控,做了快照,然后便开始安装怀疑中的 BitComet 和 FlashGet。不过期待中的 TCP 连接并没有出现。又装 Google 工具条,还是没出现。懊恼之中打开了虚拟机的 Windows Update。呵呵,出现了,而且外面的实体机上也出现了(我虚拟机用 NAT 上网)。原来如此。
又打开了几个网站,发现像 Google,百度这种页面比较单纯的就基本上不会有这种情况。而像网易、新浪、雅虎这些门户就肯定会有。联想到这种 TCP 连接的状态全都是 TIME_WAIT,而作为客户端出现 TIME_WAIT 是比较奇怪的。估计这些因为某些原因由客户端断开的连接,在 TCPView 中就全部由应用程序丢给 [System Process]:0,由 TCP/IP 协议进行维护了。也就是说,这种情况并不是中了什么反弹木马,而是 HTTP 协议和某些网页联合导演出来的。
当然,并不能因此就排除木马的可能。把反弹端口开在 80 端口是最简单也检测难度最高的。如果在 [System Process]:0 上出现了 ESTABLISHED 或 LISTENING 就完全值得怀疑了。我还是决定开一晚上 Packetyzer 抓一下包确认一下。如果是木马,或者是那种刷流量的垃圾软件,起码应该会隔一段时间便自动发包到指定的地址。先把 msfeedssync 给停了,如果明早起来抓不到包,那么应该问题不大了。
没有评论:
发表评论