如何找出外連的惡意程式？

如何找出外連的惡意程式？
到iT邦幫忙

gordonliao（iT邦初學者10級）發問：
我有一臺主機一直嘗試連向大陸IP，它走的Port是80跟1739，使用防毒軟體也無法掃出病毒或木馬，請問該如何解決？還有其他辦法可以解決嗎？
rickhsu（iT邦初學者3級）：
先用TCP Viewer之類的軟體，查出是哪一支程式在連線。同時也可以先將Server對外連線的Port關掉，以避免資料外流。

amigoccs（iT邦初學者8級）：
走Port 80的是標準HTTP，但是Port 1739就有可能是惡意程式了。

建議你採取下列步驟分析問題：

1. 確認流出的資料為何。例如以McAfee Network DLP Monitor透過Mirror Port的方式串連上交換器，監聽所有的通訊。此外，設定資安政策為通過Port 1739時觸發資安事件。

2. 在稽核人員陪同下省視資料。有很多時候可能會看到資訊部門不該看到的資料，因此務必找稽核陪同。

3. 直接向稽核與董事長報告。不是找總經理或你的主管，也有個案為內部人員蓄意所為，小心主管為了不影響自己的職業生涯，而採取針對你的行動。

4. 保留證據作為呈堂供物。要注意蒐集的資料是否能作為舉證之用，不是每個工具的蒐證都可以被承認。

plums（iT邦初學者7級）：
如果軟體本身是合法的被開發出來，當然不會被當做病毒或木馬，碰過最有名的就是「r_server」這個遠端遙控服務，是很多駭客喜歡用的。

建議將Server上的處理程序跟服務一一檢視，看到異常的名稱就上網找找看。這招雖然笨一點，但還算管用。

intermis（iT邦初學者10級）：
看這個症狀，應該是中了偽80port反彈式木馬，即使找到是那個程序刪除，重開機後還是會繼續運作，基本上除了重灌似乎沒有更好的辦法，應該將重點放在這次重灌後，使用者的使用習慣改善，才是長遠之計。

shunyuan（iT邦初學者5級）：
（1） 找出是哪支程式連到大陸去，可以用「cport.exe」這個免費軟體。

找到後，先用Task Manager把執行的程式強制終止，然後砍掉執行檔。

（2）找出開機是從哪個Registry執行（可以用Startup Cpl這支軟體），再把不必要的開機自動執行的程式移除。

（3）重開機，重複前兩個步驟，通常一次就乾淨了。

這些其實就是防毒軟體做的事，只是改成手動執行。