Foros del Web » Administración de Sistemas » Seguridad y redes »

Ataque por puerto TCP(1029) ????

Estas en el tema de Ataque por puerto TCP(1029) ???? en el foro de Seguridad y redes en Foros del Web. Hola a tod@s Me acabo de instalar el FIREWALL OUTPOST (LA VERSIÓN FREE), y observo que en la sección detección de ataques el firewall detecta ...
  #1 (permalink)  
Antiguo 24/03/2004, 10:44
 
Fecha de Ingreso: marzo-2003
Mensajes: 117
Antigüedad: 21 años, 8 meses
Puntos: 0
Ataque por puerto TCP(1029) ????

Hola a tod@s

Me acabo de instalar el FIREWALL OUTPOST (LA VERSIÓN FREE), y observo que en la sección detección de ataques el firewall detecta que hay varios intentos de petición de conexión de un equipo de mi red local, que es un WINDOWS 2000 SERVER , por el puerto TCP 1029.

SERÁ ESTO UN TROYANO????????
  #2 (permalink)  
Antiguo 24/03/2004, 11:16
 
Fecha de Ingreso: noviembre-2003
Ubicación: BsAs
Mensajes: 325
Antigüedad: 21 años
Puntos: 0
efectivamente,
port 1029 (TCP)
Troyanos: Clandestine, KWM, Litmus, SubSARI

port 1029 (UDP)
Troyanos: SubSARI

Cita:
Clandestine
Name: Clandestine
Aliases: TrojanDropper.Win32.Small.f, Backdoor.RSC,
Ports: 1027, 1029, 3006, 22456, 23456
Files: Clandestine1.5.1.zip - Remoto.exe - Update.exe - Win32.exe - Control.exe -
Created:
Requires:
Actions:
Registers: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\
Notes: Works on Windows.
Country:
Program:
Cita:
Name: KWM
Aliases: Backdoor.KWM,
Ports: 21, 1028, 1029, 1030, 1031, 1032, 1033, 1034, 1035, 1036, 1037
Files: Netcfgh.exe - [69 kb]Photo.scr - Photo.jpg - Sponsors_pay_wm.exe - Contract.txt - Body.lg - List.cmd - Heak.exe - Teen1.exe - Teen2.exe - Teen3.exe -
Created:
Requires:
Actions: Remote Access / Keylogger / Steals passwords / Downloading trojan
Registers: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
HKEY_USERS\.Default\Software\Microsoft\Windows\Cur rentVersion\Internet Settings
Notes: Works on Windows.
Country:
Program:
Cita:
Name: Litmus
Aliases: Backdoor.Litmus, Backdoor.JZ, LTM,
Ports: 1028, 1029, 30005
Files: Litmus2.03.zip - Winup.exe - Msgorv32.exe - Msgsrv16.exe - Msgsrv32.exe - Msgsrv320.exe - Litdevia.exe - Litkeqan.exe - Traywnd.exe - - 7,680 bytes - 15,904 bytes - 17,440 bytes - 36,384 bytes
Created: Jan 2001
Requires:
Actions: Remote Access / IRC trojan
Registers: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\ Windows\CurrentVersion\Run\
Notes: Works on Windows, together with an IRC software.
Country:
Program:
Cita:
Name: SubSARI
Aliases: Backdoor.SubSARI,
Ports: 39, 1028, 1028 (UDP), 1029, 1029 (UDP), 3131, 6711, 35600, 40308, 50000 (ports can not be changed)
Files: Subsari1.0.zip - Subsari1.2.zip - 647,285 bytes Subsari1.3.zip - 717,568 bytes Subsari1.4.zip - Subsari 12.exe - 256,512 bytes Subsari 13.exe - 283,136 bytes Server 12.exe - 204,800 bytes Server13.exe - 239,104 bytes Sduzen.exe - 141,312 bytes Runexec.exe - Winexec.exe - Kuusbffc..exe - Icqinet.dll - Zimbirti.exe - Ayar.kip - 5,860 bytes Ayar.kip - 5,875 bytes Ayar.kip - 5,897 bytes Dosya.kip - 96 bytes Tools.kip - 46 bytes Yedek.kip - 5,760 bytes
Created: Jun 2000
Requires:
Actions: Remote Access / Keylogger / Steals passwords / FTP server
Registers: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
Notes: Works on Windows 95, 98 and ME.
Country: written in Turkey
Program:
espero que te sirva.
__________________
Juan Manuel


evitemos nombres de post como "ayudaaaa", "mi red no anda","ayuda con mi red" o cosas parecidas, usemos nombres mas especificos relativos al problema que tengamos, utilizemos el buscador del foro, si nuestra pregunta puede ser básica busquemos si hay algun sticky en el foro en donde posteamos que por ahi esta tratado lo que buscamos, por un foro mejor y mas dinamico! :si:
  #3 (permalink)  
Antiguo 25/03/2004, 04:52
 
Fecha de Ingreso: marzo-2003
Mensajes: 117
Antigüedad: 21 años, 8 meses
Puntos: 0
Todavía no he comprobado la del troyano que me habías dicho, porque ahora el mismo equipo intenta conectarse por el puerto 1030 y no por el 1029.

A su vez otro equipo de la red local en menos de 5 segundos se ha intentando conectar por el 1165,1163,1161,1159,1157,1155.
Este equipo tiene el NORTON ANTIVIRUS 2004 con el fichero de firmas actualizado.

Todo esto es normal????
  #4 (permalink)  
Antiguo 25/03/2004, 06:10
 
Fecha de Ingreso: noviembre-2003
Ubicación: BsAs
Mensajes: 325
Antigüedad: 21 años
Puntos: 0
Cita:
porque ahora el mismo equipo intenta conectarse por el puerto 1030
... lee bien todas las descripciones que te deje, hay uno que usa ese puerto...


con respecto a lo demás te diria que pruebes con otro antivirus si el norton no detecta nada. yo uso el AVG professional de www.grisoft.com
__________________
Juan Manuel


evitemos nombres de post como "ayudaaaa", "mi red no anda","ayuda con mi red" o cosas parecidas, usemos nombres mas especificos relativos al problema que tengamos, utilizemos el buscador del foro, si nuestra pregunta puede ser básica busquemos si hay algun sticky en el foro en donde posteamos que por ahi esta tratado lo que buscamos, por un foro mejor y mas dinamico! :si:
  #5 (permalink)  
Antiguo 25/03/2004, 10:49
 
Fecha de Ingreso: marzo-2003
Mensajes: 117
Antigüedad: 21 años, 8 meses
Puntos: 0
En las entradas de registro que me indica...

¿que valores debo encontrar supuestamente si tengo esos virus?

O mejor, me puedes decir ¿dónde has sacado esta información???

Muchas gracias
  #6 (permalink)  
Antiguo 25/03/2004, 11:19
 
Fecha de Ingreso: noviembre-2003
Ubicación: BsAs
Mensajes: 325
Antigüedad: 21 años
Puntos: 0
no creo que haga falta ver o modificar los registros.. bastaría con instalar algun antivirus que lo pueda remover.

la info la saqué de http://www.liquidmatrix.org/trojan.htm
__________________
Juan Manuel


evitemos nombres de post como "ayudaaaa", "mi red no anda","ayuda con mi red" o cosas parecidas, usemos nombres mas especificos relativos al problema que tengamos, utilizemos el buscador del foro, si nuestra pregunta puede ser básica busquemos si hay algun sticky en el foro en donde posteamos que por ahi esta tratado lo que buscamos, por un foro mejor y mas dinamico! :si:
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas (incluyéndote)




La zona horaria es GMT -6. Ahora son las 00:55.