Zagadka skanowania portu 11768/TCP wyjaśniona

Author: hoaxer \ styczeń 14, 2004 \ Aktualności \ 0 komenarzy

LURHQ opublikował analizę bota/robaka o nazwie Dipnet, odpowiedzialnego za skanowanie portu 11768/TCP, o którym niedawno pisaliśmy.

Robak wykorzystywał port 11768/TCP do rozpoznania, czy dana ofiara jest już zainfekowana najnowszą instancją robaka poprzez wysłanie ciągu „__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123”. Jeżeli atakowany IP nie był zainfekowany, bądź nie był zainfekowany najnowszą wersją robaka, następował atak na port 445/TCP za pomocą znanej luki w LSASS.

Payload robaka ściągany był z URLa wskazanego podczas procesu infekcji, podobnie jak instrukcje dotyczące IP do zaatakowania. Robak instaluje się w systemie jako usługa NetDDEeipx. Celem robaka jest rozpowszechnienie bota do ataków DDoS. Niektóre warianty robaka korzystały z portu 15118 zamiast 11768. Skanowanie portu 15118 obserwowaliśmy jednak tylko w szczątkowej formie.

Więcej informacji:
http://www.lurhq.com/dipnet.html

Źródło informacji: CERT Polska

Wojciech Grzegorz Mysiakmarzec 17, 2021"https://www.youtube.com/results?search_query=hackers+winnings+digital+pa…"
Filip M.październik 9, 2020"My też zdecydowaliśmy się na voip od firmy Super VoIP i była to najlepsz…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
Arkadiusz Siczeklipiec 1, 2020"Nie wiem czy w dobie ekshibicjonizmu internetowego możemy w ogóle mówić…"