Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Ökad aktivitet på port 445

Sitics Honeynet har registrerat en markant ökning av skanningar på port 445, vilket troligen beror på en ny mask.

Sitics Honeynet består av ett antal sensorer utplacerade hos myndigheter och andra organisationer. Dessa sensorer fångar upp portskanningar och skadlig kod. Fredagen den 21 november registrerade sensorerna en svag ökning av aktiviteten på port 445. Därefter har antalet skanningar av port 445 legat mellan 60-225% över det normala. En tydlig och kraftig ökning med andra ord. Andra organisationer, inte minst andra CERT:ar, har noterat en liknande ökning.

Vad ligger bakom denna ökning? Med allra största sannolikhet en eller flera maskar som utnyttjar RPC-hålet i Windows (MS08-067). En mask som utnyttjar sårbarheten har fått namnet Win32/Conficker, vilken den indiska CERT:en har en bra analys av. Troligen finns det andra maskar och annan skadlig kod som utnyttjar säkerhetshålet. Som Sitic skrev om tidigare angrips för närvarande endast Windows 2000.

Sitic rekommenderar följande skydd:

  • Installera uppdateringen MS08-067 som finns tillgänglig på Windows Update.
  • Blocka TCP-portarna 139 och 445 i brandväggen.

Mer information:
http://www.sitic.se/publikationer/namnvart/mask-utnyttjar-rpc-hal
http://isc.sans.org/diary.html?storyid=5401
http://blog.trendmicro.com/ms08-067-vulnerability-botnets-reloaded/