Od niedzieli można zaobserwować intensywne skanowanie portu 5000/TCP z bardzo wielu źródeł. Łącznie zespół CERT Polska zaboserwował ponad 16 000 źródeł, natomiast SANS Institute mówi nawet o 500 000. Prawdopodobnymi sprawcami skanowań są dwa robaki (a dokładniej boty/trojany), Bobak oraz Kibuv.B.
[OBRAZ]Trojan Bobak jest zdalnie sterowany i rozprzestrzenia się tylko na polecenie autora. W celu otrzymania poleceń kontaktuje się z określonymi URLami. Wykorzystuje port 5000/TCP do ropoznania systemów Windows XP. W przypadku stwierdzenia otwartego portu 5000/TCP (co, zdaniem autora trojana, identyfikuje system jako XP), usiłuje włamać się do systemu poprzez znaną już lukę związaną z LSASS (port 445/TCP). Posiada rozbudowane funkcje rozsyłania spamu, i właśnie budowa rozległej sieci do spamowania wydaje się być głównym przeznaczeniem trojana.
Drugi trojan, Kibuv.B, oparty jest na rodzinie Sdbot, i jest sterowany za pomocą IRC. Może wykorzystywać szereg luk, w tym między innymi lukę w LSASS, Sasserze, a także w UPnP (port 5000/TCP) opisaną w MS01-059. Otwiera także backdoora na porcie 420/TCP i serwer FTP na porcie 7955/TCP.
Obecnie trudno jest stwierdzić, który z tych trojanów jest odpowiedzialny za większość ruchu na porcie 5000/TCP.
Na wykresie przedstawiono aktywność na porcie 5000/TCP zarejestrowaną przez nas. Interesujący jest fakt przerwy w godzinach pracy czasu polskiego. Rozkład geograficzny źródeł jest także interesujący - większość obserwowanych przypadków pochodzi z sieci w Meksyku, Holandii i Turcji, a nie jak można było by się spodziewać, USA, które znajdują się dopiero na 26 pozycji. W Polsce najwięcej przypadków obserwujemy z AS12741 (Internetia) oraz z AS5617 (TPNET). Najprawdopodobniej nie odzwierciedla to jednak rzeczywistego rozkładu infekcji ale algorytm wyboru ofiary, gdyż większość źródeł ataków pochodzi z sieci o takim samym prefiksie /8 jak sieci przez nas monitorowane.
Rozkład źródeł z ostatnich 24 godzin z godziny 9:00 18.05.2004 (mapa świata) znajduje się tutaj.
Więcej o trojanie Bobak (LURHQ):
http://www.lurhq.com/bobax.html
Więcej o Kibuv.B (Symantec):
http://securityresponse.symantec.com/avcenter/venc/data/w32.kibuv.b.html
Źródło informacji: CERT Polska
Bobak i Kibuv odpowiedzialne za duży wzrost skanowań portu 5000/TCP
Wirusy komputerowe |
Wt, 18 Maj 2004 15:39:12 +0200 |
Autor:
Redakcja
| Czytań: 3890
Pozostałe wiadomości w kategorii Wirusy komputerowe (326)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.