目前在网络上流窜作案的木马通常都是使用TCP端口进行远程控制，但是这种木马对稍具网络安全防范意识的朋友来说是很容易被发现的。狡猾的入侵者面对这种情况，开发出了利用UDP端口的木马，这种木马的特点就是隐蔽性极好，不容易被发现。本文就来介绍笔者处理UDP木马神气儿的经过，为大家提供一点参考。

　　一、情况描述

　　开机后，只要我拨号上网，网络防火墙就弹出一个提示窗口，询问是否允许“Internet Explorer”连接网络。我从提示框的“地址”一栏也证实了确实是IE浏览器的进程要求访问互联网，可我上网从来都只用Maxthon。原以为是系统本身的问题，便重新启动系统，可是当我拨号上网后不久，IE浏览器便要求访问互联网。对系统进行一次彻底地病毒扫描，结果一无所获。

　　二、根掘端口查找线索

　　虽然杀毒软件没有扫描出结果，但我隐隐约约感觉到这个幕后黑手可能是一个木马程序，因为流氓软件不会对系统是否联网进行判断，而很多木马才会有这个功能，之所以不被查杀可能因为它是一个全新的木马程序，也可能被入侵者进行了特征码修改的免杀操作。

　　再次拨号上网，防火墙又出现了IE浏览器连接互联网的请求。运行木马辅助查找器(下载地址http://www.ysye.com/soft/446.html)，这是一款可以辅助用户进行恶意程序检查的工具（图1）。点击“端口信息”选项，这里用户不但可以查看到哪些端口被打开使用，还可以看到是哪些进程打开的这些瑞口，从而方便用户根据实际的情况决定是否终止进程来关闭某些端口。点击“刷新”按钮可以及时更新当前的端口情况。

图1

图2

图3

图4

【责任编辑 徐洋】