15
2022
12

如何追踪查找局域网内中了木马病毒的电脑?

局域网内电脑中了木马病毒,会有带来下述坏处:

  1. 感染内网其他电脑。

  2. 大量攻击数据的存在,使得网络缓慢,被攻击的电脑运行缓慢。

发现内网电脑中毒后,一般都会采取重新安装系统,或者全盘杀毒的方式。但是如果电脑比较多就让人很头疼了。首先要追踪查找到感染了木马病毒的电脑,然后才可以进行病毒查杀。有些杀毒软件或者防火墙可以检测到内网的攻击源,本文中,我将介绍如何用WSG上网行为管理的“木马检测”功能来进行检测。WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,如下图:

202212151671085711364298.png

入侵防御模块主要用于检测对内网主机的攻击,一旦检测到外网攻击就可以阻止攻击源,从而保护内网的服务器资源。而木马检测模块主要用于检测内网的木马病毒特征,从而追踪查找到中了木马病毒的终端电脑。木马检测模块,可以检测以下特征:

202212151671086404473521.png


WSG上网行为管理的特征库是基于snort的,木马检测分为以下几个大类:

  1. indicator-compromise: 检测内网被恶意软件感染的终端。

  2. indicator-obfuscation: 恶意软件的模糊特征检测。

  3. indicator-scan: 检测恶意软件的扫描行为。

  4. indicator-shellcode:检测shellcode的执行特征。

  5. malware-backdoor:检测后门端口的通讯特征。 如果某个恶意软件打开一个端口并等待其控制功能的传入命令,则会出现此类检测。

  6. malware-cnc:此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。

  7. malware-tool:此类别包含处理本质上可被视为恶意工具的规则。


可以检测各种挖矿、后门、病毒等各种木马特征。如下图:

202212151671087494140907.png

检测到木马后,会在“木马检测”的“检测记录”中,记录检测的IP地址等信息,从而您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。

202202071644207959104457.png



« 上一篇 下一篇 »