Skanowanie 1080/TCP, 3127/TCP, 3128/TCP – sprawcą jest Vesser?

Przez weekend firmy antywirusowe wykryły nowego robaka, znanego jako Vesser lub W32.HLLW.Deadhat. Robak propaguje się między innymi przez porty otwierane przez wirusa MyDoom.A i MyDoom.B.

MyDoom.A zostawia otwarte porty 3127 lub 3128. MyDoom.B także port 1080. Istnieje duże prawdopodobieństwo, że skanowanie, o którym ostatnio pisaliśmy, jest spowodowane przez Vessera.

Po wejściu na system, Vesser otwiera backdoora na porcie 2766/TCP i próbuje odinstalować MyDooma, a także wyłączyć zainstalowane oprogramowanie antywirusowe i firewalle. Następnie łączy się z serwerem IRC, w oczekiwaniu na dalsze polecenia.

Robak także propaguje się przez sieć P2P, SoulSeek.

Według naszych obserwacji, intensywność skanów na porty 1080, 3127 i 3128 cały czas narasta. Wśród skanujących IP znajduję się także kilka polskich adresów.

Szczegółowy opis robaka znajdziesz na stronach: F-Secure oraz Symanteca