局域网内电脑中了木马病毒,会有带来下述坏处:
-
感染内网其他电脑。
-
大量攻击数据的存在,使得网络缓慢,被攻击的电脑运行缓慢。
发现内网电脑中毒后,一般都会采取重新安装系统,或者全盘杀毒的方式。但是如果电脑比较多就让人很头疼了。首先要追踪查找到感染了木马病毒的电脑,然后才可以进行病毒查杀。有些杀毒软件或者防火墙可以检测到内网的攻击源,本文中,我将介绍如何用WSG上网行为管理的“木马检测”功能来进行检测。WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,如下图:
入侵防御模块主要用于检测对内网主机的攻击,一旦检测到外网攻击就可以阻止攻击源,从而保护内网的服务器资源。而木马检测模块主要用于检测内网的木马病毒特征,从而追踪查找到中了木马病毒的终端电脑。木马检测模块,可以检测以下特征:
WSG上网行为管理的特征库是基于snort的,木马检测分为以下几个大类:
-
indicator-compromise: 检测内网被恶意软件感染的终端。
-
indicator-obfuscation: 恶意软件的模糊特征检测。
-
indicator-scan: 检测恶意软件的扫描行为。
-
indicator-shellcode:检测shellcode的执行特征。
-
malware-backdoor:检测后门端口的通讯特征。 如果某个恶意软件打开一个端口并等待其控制功能的传入命令,则会出现此类检测。
-
malware-cnc:此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。
-
malware-tool:此类别包含处理本质上可被视为恶意工具的规则。
可以检测各种挖矿、后门、病毒等各种木马特征。如下图:
检测到木马后,会在“木马检测”的“检测记录”中,记录检测的IP地址等信息,从而您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。
