Wzrost aktywności na portach 1025, 2745, 3127 i 6129

Przez weekend zaobserwowano znaczący wzrost ilości skanowań na porty 1025 (prawdopodobnie exploit na RPC), 2745 (otwierany jako backdoor przez wirusa Beagle), 3127 (backdoor MyDoom) i 6129 (DameWare) TCP. Może mieć to związek z pojawieniem się w sieci nowego (nowych?) wariantu robaka Agobot/Gaobot – Phatbot.

Skany są rozmaite, często obejmują także porty 135, 139 oraz 445 – jednak ze względu na i tak dużą liczbę ataków na te porty, są nieco mniej widoczne. Czasem obserwujemy skanowanie również na port 5000 (MS Universal Plug and Play).

Według doniesień na forum dslreports.com, Phatbot na zainfekowanym komputerze instaluje liczne usługi proxy oraz backdoory. Korzysta także z techniki P2P do komunikacji.

Podobne przypadki skanowania zaobserwowano już prawie tydzień temu, jednak wtedy występowały w znacznie mniejszych ilościach.

Wsród źródeł skanowań znajdują się także komputery z Polski.

Możliwe jest też, że część skanowań ma związek z robakiem Nachi.F

Więcej informacji o skanowaniu:
http://www.dslreports.com/forum/remark,9614814~mode=flat

Źródło informacji: CERT