Bobak i Kibuv odpowiedzialne za duży wzrost skanowań portu 5000/TCP

Od niedzieli można zaobserwować intensywne skanowanie portu 5000/TCP z bardzo wielu źródeł. Łącznie zespół CERT Polska zaboserwował ponad 16 000 źródeł, natomiast SANS Institute mówi nawet o 500 000. Prawdopodobnymi sprawcami skanowań są dwa robaki (a dokładniej boty/trojany), Bobak oraz Kibuv.B.

[OBRAZ]Trojan Bobak jest zdalnie sterowany i rozprzestrzenia się tylko na polecenie autora. W celu otrzymania poleceń kontaktuje się z określonymi URLami. Wykorzystuje port 5000/TCP do ropoznania systemów Windows XP. W przypadku stwierdzenia otwartego portu 5000/TCP (co, zdaniem autora trojana, identyfikuje system jako XP), usiłuje włamać się do systemu poprzez znaną już lukę związaną z LSASS (port 445/TCP). Posiada rozbudowane funkcje rozsyłania spamu, i właśnie budowa rozległej sieci do spamowania wydaje się być głównym przeznaczeniem trojana.

Drugi trojan, Kibuv.B, oparty jest na rodzinie Sdbot, i jest sterowany za pomocą IRC. Może wykorzystywać szereg luk, w tym między innymi lukę w LSASS, Sasserze, a także w UPnP (port 5000/TCP) opisaną w MS01-059. Otwiera także backdoora na porcie 420/TCP i serwer FTP na porcie 7955/TCP.

Obecnie trudno jest stwierdzić, który z tych trojanów jest odpowiedzialny za większość ruchu na porcie 5000/TCP.

Na wykresie przedstawiono aktywność na porcie 5000/TCP zarejestrowaną przez nas. Interesujący jest fakt przerwy w godzinach pracy czasu polskiego. Rozkład geograficzny źródeł jest także interesujący – większość obserwowanych przypadków pochodzi z sieci w Meksyku, Holandii i Turcji, a nie jak można było by się spodziewać, USA, które znajdują się dopiero na 26 pozycji. W Polsce najwięcej przypadków obserwujemy z AS12741 (Internetia) oraz z AS5617 (TPNET). Najprawdopodobniej nie odzwierciedla to jednak rzeczywistego rozkładu infekcji ale algorytm wyboru ofiary, gdyż większość źródeł ataków pochodzi z sieci o takim samym prefiksie /8 jak sieci przez nas monitorowane.

Rozkład źródeł z ostatnich 24 godzin z godziny 9:00 18.05.2004 (mapa świata) znajduje się tutaj.

Więcej o trojanie Bobak (LURHQ):
http://www.lurhq.com/bobax.html

Więcej o Kibuv.B (Symantec):
http://securityresponse.symantec.com/avcenter/venc/data/w32.kibuv.b.html

Źródło informacji: CERT Polska