Wzrost przypadków rozysłania spamu przez usługę „Posłaniec”

Od mniej więcej miesiąca w Polsce i na świecie nasilają się przypadki rozsyłania spamu za pomocą usługi „Messenger” („Posłaniec”), która jest domyślnie uruchamiana na systemach Windows XP i Windows 2000. W szczególności obserwujemy próby rozsyłania spamu przez porty 1026/UDP i 1027/UDP, poprzez sekwencyjne skanowanie numerów IP.

Usługa „Posłaniec” służy do odbierania krótkich komunikatów tekstowych, które mogą być rozsyłane do poszczególnych użytkowników lub grup użytkowników w sieci lokalnej. Co najmniej od początku 2003 roku usługa ta stała się też podstawowym narzędziem spamerów, którzy za jej pomocą rozsyłają reklamy do losowych odbiorców.

Usługa „Posłaniec” jest usługą RPC, normalnie osiągalną za pośrednictwem usługi MS RPC Endpoint Mapper, rezydującej na porcie 135. Jest także osiągalna bezpośrednio na portach efemerycznych, najczęściej od 1026/UDP do 1029/UDP. Od kiedy port 135 jest często blokowany przez wielu ISP (na skutek robaka Blaster), spamerzy przerzucili się na wyższe porty. Ponieważ komunikat można rozesłać jednym pakietem UDP, źródłowe IP jest zazwyczaj sfałszowane.

Rozsyłanie spamu, poprzez ruch jaki generuje, może mieć też efekt uboczny w postaci DoS.

Aby uchronić się od popup spamu, należy wyłączyć usługę „Posłaniec”. Jeżeli jest niezbędna do pracy, zalecane jest zastosowanie firewalli i ograniczenie IP, z których mogą być odbierane komunikaty.

Instrukcję, jak wyłączyć usługę „Posłaniec” w języku angielskim, można znaleźć na stronie myNetWatchman.

Instrukcję w jezyku polskim można znaleźć tutaj.

Źródło informacji: CERT Polska