LURHQ opublikował analizę bota/robaka o nazwie Dipnet, odpowiedzialnego za skanowanie portu 11768/TCP, o którym niedawno pisaliśmy.
Robak wykorzystywał port 11768/TCP do rozpoznania, czy dana ofiara jest już zainfekowana najnowszą instancją robaka poprzez wysłanie ciągu "__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123". Jeżeli atakowany IP nie był zainfekowany, bądź nie był zainfekowany najnowszą wersją robaka, następował atak na port 445/TCP za pomocą znanej luki w LSASS.
Payload robaka ściągany był z URLa wskazanego podczas procesu infekcji, podobnie jak instrukcje dotyczące IP do zaatakowania. Robak instaluje się w systemie jako usługa NetDDEeipx. Celem robaka jest rozpowszechnienie bota do ataków DDoS. Niektóre warianty robaka korzystały z portu 15118 zamiast 11768. Skanowanie portu 15118 obserwowaliśmy jednak tylko w szczątkowej formie.
Więcej informacji:
http://www.lurhq.com/dipnet.html
Źródło informacji: CERT Polska
Zagadka skanowania portu 11768/TCP wyjaśniona
Bezpieczeństwo |
Pt, 14 Sty 2005 13:08:30 +0100 |
Autor:
Redakcja
| Czytań: 8266
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.