24/03/2004, 10:44
| |||
| |||
| Ataque por puerto TCP(1029) ???? Hola a tod@s Me acabo de instalar el FIREWALL OUTPOST (LA VERSIÓN FREE), y observo que en la sección detección de ataques el firewall detecta que hay varios intentos de petición de conexión de un equipo de mi red local, que es un WINDOWS 2000 SERVER , por el puerto TCP 1029. SERÁ ESTO UN TROYANO???????? |
|
24/03/2004, 11:16
| |||
| |||
| efectivamente, port 1029 (TCP) Troyanos: Clandestine, KWM, Litmus, SubSARI port 1029 (UDP) Troyanos: SubSARI Cita: Clandestine Name: Clandestine Aliases: TrojanDropper.Win32.Small.f, Backdoor.RSC, Ports: 1027, 1029, 3006, 22456, 23456 Files: Clandestine1.5.1.zip - Remoto.exe - Update.exe - Win32.exe - Control.exe - Created: Requires: Actions: Registers: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ Notes: Works on Windows. Country: Program: Cita: Name: KWM Aliases: Backdoor.KWM, Ports: 21, 1028, 1029, 1030, 1031, 1032, 1033, 1034, 1035, 1036, 1037 Files: Netcfgh.exe - [69 kb]Photo.scr - Photo.jpg - Sponsors_pay_wm.exe - Contract.txt - Body.lg - List.cmd - Heak.exe - Teen1.exe - Teen2.exe - Teen3.exe - Created: Requires: Actions: Remote Access / Keylogger / Steals passwords / Downloading trojan Registers: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion HKEY_USERS\.Default\Software\Microsoft\Windows\Cur rentVersion\Internet Settings Notes: Works on Windows. Country: Program: Cita: Name: Litmus Aliases: Backdoor.Litmus, Backdoor.JZ, LTM, Ports: 1028, 1029, 30005 Files: Litmus2.03.zip - Winup.exe - Msgorv32.exe - Msgsrv16.exe - Msgsrv32.exe - Msgsrv320.exe - Litdevia.exe - Litkeqan.exe - Traywnd.exe - - 7,680 bytes - 15,904 bytes - 17,440 bytes - 36,384 bytes Created: Jan 2001 Requires: Actions: Remote Access / IRC trojan Registers: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run HKEY_USERS\.DEFAULT\Software\Microsoft\ Windows\CurrentVersion\Run\ Notes: Works on Windows, together with an IRC software. Country: Program: Cita: espero que te sirva. Name: SubSARI Aliases: Backdoor.SubSARI, Ports: 39, 1028, 1028 (UDP), 1029, 1029 (UDP), 3131, 6711, 35600, 40308, 50000 (ports can not be changed) Files: Subsari1.0.zip - Subsari1.2.zip - 647,285 bytes Subsari1.3.zip - 717,568 bytes Subsari1.4.zip - Subsari 12.exe - 256,512 bytes Subsari 13.exe - 283,136 bytes Server 12.exe - 204,800 bytes Server13.exe - 239,104 bytes Sduzen.exe - 141,312 bytes Runexec.exe - Winexec.exe - Kuusbffc..exe - Icqinet.dll - Zimbirti.exe - Ayar.kip - 5,860 bytes Ayar.kip - 5,875 bytes Ayar.kip - 5,897 bytes Dosya.kip - 96 bytes Tools.kip - 46 bytes Yedek.kip - 5,760 bytes Created: Jun 2000 Requires: Actions: Remote Access / Keylogger / Steals passwords / FTP server Registers: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\ Notes: Works on Windows 95, 98 and ME. Country: written in Turkey Program:
__________________ Juan Manuel evitemos nombres de post como "ayudaaaa", "mi red no anda","ayuda con mi red" o cosas parecidas, usemos nombres mas especificos relativos al problema que tengamos, utilizemos el buscador del foro, si nuestra pregunta puede ser básica busquemos si hay algun sticky en el foro en donde posteamos que por ahi esta tratado lo que buscamos, por un foro mejor y mas dinamico! :si: |
|
25/03/2004, 04:52
| |||
| |||
| Todavía no he comprobado la del troyano que me habías dicho, porque ahora el mismo equipo intenta conectarse por el puerto 1030 y no por el 1029. A su vez otro equipo de la red local en menos de 5 segundos se ha intentando conectar por el 1165,1163,1161,1159,1157,1155. Este equipo tiene el NORTON ANTIVIRUS 2004 con el fichero de firmas actualizado. Todo esto es normal???? |
|
25/03/2004, 06:10
| |||
| |||
| Cita: ... lee bien todas las descripciones que te deje, hay uno que usa ese puerto...porque ahora el mismo equipo intenta conectarse por el puerto 1030 con respecto a lo demás te diria que pruebes con otro antivirus si el norton no detecta nada. yo uso el AVG professional de www.grisoft.com
__________________ Juan Manuel evitemos nombres de post como "ayudaaaa", "mi red no anda","ayuda con mi red" o cosas parecidas, usemos nombres mas especificos relativos al problema que tengamos, utilizemos el buscador del foro, si nuestra pregunta puede ser básica busquemos si hay algun sticky en el foro en donde posteamos que por ahi esta tratado lo que buscamos, por un foro mejor y mas dinamico! :si: |
|
25/03/2004, 11:19
| |||
| |||
| no creo que haga falta ver o modificar los registros.. bastaría con instalar algun antivirus que lo pueda remover. la info la saqué de http://www.liquidmatrix.org/trojan.htm
__________________ Juan Manuel evitemos nombres de post como "ayudaaaa", "mi red no anda","ayuda con mi red" o cosas parecidas, usemos nombres mas especificos relativos al problema que tengamos, utilizemos el buscador del foro, si nuestra pregunta puede ser básica busquemos si hay algun sticky en el foro en donde posteamos que por ahi esta tratado lo que buscamos, por un foro mejor y mas dinamico! :si: |
Este tema le ha gustado a 1 personas (incluyéndote) 
