[FORA DO TOPICO][Fwd: Atividade suspeita]

Marcio de Araujo Benedito Thu, 15 May 2003 12:11:15 -0500

Pessoal;

Achei interessante repassar para esta lista, visto que aqui tambem estao
administradores de redes.


[]'s
-- 
--------------------------------------------------------
Márcio de Araújo Benedito <[EMAIL PROTECTED]>
Usuário Debian GNU/Linux

"In a world without walls, who needs Windows?"

--- Begin Message ---

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

No ultimo mes, o CAIS identificou um aumento consideravel de atividade na
porta 17300/tcp. A constatacao e analise desta atividade foi possivel
gracas ao mecanismo de monitoracao de acessos a portas mantido pelo CAIS.

A porta 17300/tcp e' atribuida ao worm "kuang2", constando na lista de
portas com reconhecidos codigos maliciosos (worms,virus e trojans)
associados:

        http://www.sans.org/resources/idfaq/oddports.php#top

Pesquisando o ocorrido, o CAIS chegou aos resultados obtidos pela LURHQ
Corporation (www.lurhq.com) sobre o recente aumento de atividade na porta
17300/tcp nas redes de seus clientes. Tal estudo descreve um meta-trojan,
denominado "Milkit", que infecta maquinas ja contaminadas pelo kuang2 ou
Subseven.

O referido estudo da LURHQ esta' disponivel em:

        http://www.lurhq.com/sig-milkit.html

Maiores informacoes sobre o "kuang2" podem ser obtidas em:

        http://www.dark-e.com/archive/trojans/kuang/tv/index.shtml
        http://vil.mcafee.com/dispVirus.asp?virus_k=10213&;
        http://isc.incidents.org/port_details.html?port=17300

Ressalta-se que a maioria dos anti-virus e' capaz de detectar o kuang2 e
Subseven, mas nao de acusar a presenca do Milkit. Assim, segundo a LURHQ,
a regra do snort capaz de detectar maquinas infectadas pelo Milkit e' a
seguinte:

alert tcp $HOME_NET any -> $EXTERNAL_NET 6666:7000 (msg:"Milkit Trojan
Outbound IRC Connection"; flow:to_server,established; content:"JOIN
##milkit "; nocase; reference:url,www.lurhq.com/sig-milkit.html;
classtype:misc-activity; sid:1000005; rev:1;)


O CAIS recomenda aos administradores que mantenham os anti-virus sempre
atualizados e fiquem atentos a atividade analoga a reportada neste alerta
nas redes sob sua responsabilidade.

Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# [EMAIL PROTECTED]     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################


-----BEGIN PGP SIGNATURE-----

--- End Message ---

[FORA DO TOPICO][Fwd: Atividade suspeita]

Responder a