Puertos Ke Usan Los Toyanos

Este es un listado de puertos por el cual se comunican los troyanos. Con el comando netstat -na sabemos que puertos tenemos abiertos. Cabe aclarar que en estos programas puede modificarse el puerto pero estos son los que vienen por defecto en cada uno.

port 1 (UDP) - Sockets des Troie
port 2 Death
port 20 Senna Spy FTP server
port 21 Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash

port 22 Shaft
port 23 Fire HacKer, Tiny Telnet Server - TTS, Truva Atl
port 25 Ajan, Antigen, Barok, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy

port 30 Agent 40421
port 31 Agent 31, Hackers Paradise, Masters Paradise
port 41 DeepThroat, Foreplay
port 48 DRAT
port 50 DRAT
port 58 DMSetup
port 59 DMSetup
port 79 CDK, Firehotcker
port 80 711 trojan (Seven Eleven), AckCmd, Back End, BackOrifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader

port 81 RemoConChubo
port 99 Hidden Port, NCX
port 110 ProMail trojan
port 113 Invisible Identd Deamon, Kazimas
port 119 Happy99
port 121 Attack Bot, God Message, JammerKillah
port 123 Net Controller
port 133 Farnaz
port 137 Chode
port 137 (UDP) - Msinit
port 138 Chode
port 139 Chode, God Message worm, Msinit, Netlog, Network, Qaz
port 142 NetTaxi
port 146 Infec

<html><body>
<p><img border="0" src="http://www.suarsystem.com/xombra/logofirmasawven.jpg" width="50" height="58"><img border="0" src="http://www.suarsystem.com/xombra/xombra210.gif" width="166" height="89"></p>
</body></html>

port 170 A-trojan
port 334 Backage
port 411 Backage
port 420 Breach, Incognito
port 421 TCP Wrappers trojan
port 455 Fatal Connections
port 456 Hackers Paradise
port 513 Grlogin
port 514 RPC Backdoor
port 531 Net666, Rasmin
port 555 711 trojan (Seven Eleven), Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth Spy
port 605 Secret Service
port 666 Attack FTP, Back Construction, BLA trojan, Cain &amp; Abel, NokNok, Satans Back Door - SBD, ServU, Shadow Phyre, th3r1pp3rz (= Therippers)
port 667 SniperNet
port 669 DP trojan
port 692 GayOL
port 777 AimSpy, Undetected
port 808 WinHole
port 911 Dark Shadow
port 999 Deep Throat, Foreplay, WinSatan
port 1000 Der Späher / Der Spaeher, Direct Connection
port 1001 Der Späher / Der Spaeher, Le Guardien, Silencer, WebEx
port 1010 Doly Trojan
port 1011 Doly Trojan
port 1012 Doly Trojan
port 1015 Doly Trojan
port 1016 Doly Trojan
port 1020 Vampire
port 1024 Jade, Latinus, NetSpy
port 1025 Remote Storm
port 1025 (UDP) - Remote Storm
port 1035 Multidropper
port 1042 BLA trojan
port 1045 Rasmin
port 1049 /sbin/initd
port 1050 MiniCommand
port 1053 The Thief
port 1054 AckCmd
port 1080 WinHole
port 1081 WinHole
port 1082 WinHole
port 1083 WinHole
port 1090 Xtreme
port 1095 Remote Administration Tool - RAT
port 1097 Remote Administration Tool - RAT
port 1098 Remote Administration Tool - RAT
port 1099 Blood Fest Evolution, Remote Administration Tool - RAT
port 1150 Orion
port 1151 Orion
port 1170 Psyber Stream Server - PSS, Streaming Audio Server, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 SoftWAR
port 1208 Infector
port 1212 Kaos
port 1234 SubSevenJavaclient, Ultors Trojan
port 1243 BackDoor-G, SubSeven, SubSevenApocalypse, Tiles
port 1245 VooDoo Doll
port 1255 Scarab
port 1256 Project nEXT
port 1269 Matrix
port 1272 TheMatrix
port 1313 NETrojan
port 1338 Millenium Worm

<html><body>
<p><img border="0" src="http://www.suarsystem.com/xombra/logofirmasawven.jpg" width="50" height="58"><img border="0" src="http://www.suarsystem.com/xombra/xombra210.gif" width="166" height="89"></p>
</body></html>

port 1349 Bo dll
port 1394 GoFriller, Backdoor G-1
port 1441 Remote Storm
port 1492 FTP99CMP
port 1524 Trinoo
port 1568 Remote Hack
port 1600 Direct Connection, Shivka-Burka
port 1703 Exploiter
port 1777 Scarab
port 1807 SpySender
port 1966 Fake FTP
port 1967 WM FTP Server
port 1969 OpC BO
port 1981 Bowl, Shockrave
port 1999 Back Door, SubSeven, TransScout
port 2000 Der Späher / Der Spaeher, Insane Network, Last 2000, Remote Explorer 2000, Senna Spy Trojan Generator
port 2001 Der Späher / Der Spaeher, Trojan Cow
port 2023 Ripper Pro
port 2080 WinHole
port 2115 Bugs
port 2130 (UDP) - Mini Backlash
port 2140 The Invasor
port 2140 (UDP) - Deep Throat, Foreplay
port 2155 Illusion Mailer
port 2255 Nirvana
port 2283 Hvl RAT
port 2300 Xplorer
port 2311 Studio 54
port 2330 Contact
port 2331 Contact
port 2332 Contact
port 2333 Contact
port 2334 Contact
port 2335 Contact
port 2336 Contact
port 2337 Contact
port 2338 Contact
port 2339 Contact, Voice Spy
port 2339 (UDP) - Voice Spy
port 2345 Doly Trojan
port 2565 Striker trojan
port 2583 WinCrash
port 2600 Digital RootBeer
port 2716 The Prayer
port 2773 Subseven, SubSeven2.1Gold
port 2774 SubSeven, Sub Seven 2.1 gold
port 2801 Phineas Phucker
port 2989 (UDP) - Remote Administration Tool - RAT
port 3000 Remote Shut
port 3024 WinCrash
port 3031 Microspy
port 3128 Reverse WWW Tunnel Backdoor, RingZero
port 3129 Masters Paradise
port 3150 The Invasor
port 3150 (UDP) - Deep Throat, Foreplay, Mini Backlash
port 3456 Terror trojan
port 3459 Eclipse 2000, Sanctuary
port 3700 Portal of Doom
port 3777 PsychWard
port 3791 Total Solar Eclypse
port 3801 Total Solar Eclypse
port 4000 SkyDance
port 4092 WinCrash
port 4242 Virtual Hacking Machine - VHM
port 4321 BoBo
port 4444 Prosiak, Swift Remote
port 4567 File Nail
port 4590 ICQ Trojan
port 4950 ICQ Trogen (Lm)

<html><body>
<p><img border="0" src="http://www.suarsystem.com/xombra/logofirmasawven.jpg" width="50" height="58"><img border="0" src="http://www.suarsystem.com/xombra/xombra210.gif" width="166" height="89"></p>
</body></html>

port 20002 AcidkoR
port 20005 Mosucker
port 20023 VP Killer
port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job
port 20203 Chupacabra
port 20331 BLA trojan
port 20432 Shaft
port 20433 (UDP) - Shaft
port 21544 GirlFriend, Kid Terror
port 21554 Exploiter, Kid Terror, Schwindler, Winsp00fer
port 22222 Donald Dick, Prosiak, Ruler, RUX The TIc.K
port 23005 NetTrash
port 23006 NetTrash
port 23023 Logged
port 23032 Amanda
port 23432 Asylum
port 23456 Evil FTP, Ugly FTP, Whack Job
port 23476 Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 Donald Dick
port 23777 InetSpy
port 24000 Infector
port 25685 Moonpie
port 25686 Moonpie
port 25982 Moonpie
port 26274 (UDP) - Delta Source
port 26681 Voice Spy
port 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven Muie, Ttfloader
port 27444 (UDP) - Trinoo
port 27573 SubSeven
port 27665 Trinoo
port 28678 Exploiter
port 29104 NetTrojan
port 29369 ovasOn
port 29891 The Unexplained
port 30000 Infector
port 30001 ErrOr32
port 30003 Lamers Death
port 30029 AOL trojan
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30103 NetSphere
port 30103 (UDP) - NetSphere
port 30133 NetSphere
port 30303 Sockets des Troie
port 30947 Intruse
port 30999 Kuang2
port 31335 Trinoo
port 31336 Bo Whack, Butt Funnel
port 31337 Back Fire, BackOrifice 1.20 patches, BackOrifice (Lm), BackOrifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab, Freak88, Freak2k, icmp_pipe.c, Sockdmini

Esos son algunos de los puertos usados por el BO, pero faltan muchos :(

<html><body>
<p><img border="0" src="http://www.suarsystem.com/xombra/logofirmasawven.jpg" width="50" height="58"><img border="0" src="http://www.suarsystem.com/xombra/xombra210.gif" width="166" height="89"></p>
</body></html>

Impresionante Xombra,,,, oye vete el link, que puse en mi post...

saludos

Muy buena info sombra.

por ahi altaron varios que son creadores de acceso virtual pero muy buena info.

Cyrus

Bueno xombra muy bueno el post pero esta información ya está en este foro. La verdad es que no se si se perdió con el ultimo movimiento de servidor o realmente todavía está (no lo he mirado) pero si se posteó.

De todas maneras no importa, este foro estaba últimamente muy flojito y me alegri que haya gente como tú con ganas de informar, ayudar e investigar.

Me recuerdadas a mi cuando comenzé en estos foros allá por el 98 o 99 (no recuerdo muy bien).

Igual te sigo el hilo y comienzo a escribir articulillos como hacia antes.

Un saludito y gracias tronko.

Alfon
[email protected]

me quieres decir que si hago un netstat -na y me aparece uno de esos puertos es que tengo un troyano?, pos nada menos que cuatro de esos puertos tengo por aqui... :(

Alguna sugerencia?



ToKaTa.

No hombre, el hecho de tener puertos abiertos no necesariamente siginifica que tengas un troyanao. Date cuenta que los puertos 21 y 80 los usan ciertos troyanos pero a la vez son los puertos por defecto usuados por FTP y HTTP. En el este foro hay un mensaje que cuenta como usando el netstat -na puedes detectar la posibilidad de tener troyanos.

Por cierto, revisando la lista me da la sensación que NetSpy y ServU no son troyanos. El primero es un conocido sniffer y el otro un servidor FTP.

Un Saludo,

Alfon
[email protected]

no se si sera mucho pedir :) , pero sabes cual es la direccion a ese mensaje que me decias?, el que explica el uso de netstat -na para detectar los trojanos?

De todas formas, gracias! :)

ToKaTa.

Taokata, vamos a suponer que quieres detectar si el Back Orifice está instaldo en tu sistema.

No es nada dificil. Basta con abrir una ventana MS-DOS cuando efectuamos una conexión a Internet, escribiendo entonces la orden: netstat -an \ find &quot;UDP&quot;, con el fin de verificar las conexiones UDP abiertas durante la propia conexión. Si la respuesta es similar a UDP 0.0.0.:31337 *.*, debes cortar la conexión a Internet cuanto antes, puesto que tu máquina está infectada. En ese caso, tienes que acceder a la carpeta Windows\System y localizar y eliminar sendos ficheros denominados Windll.DLL (de 8192 bytes) y .exe (&quot;espacio.exe&quot;) de 124.928 bytes. A continuación mediante el regedit localizas la clave correspondiente a HKEY_LOCAL_Machines, Software, Microsoft, Windows, Currentversion, Runservices, localizando y eliminando fnalmente todas las referencias al mencionado . Exe (&quot;espacio.exe&quot;)

Un saludo,

Alfon
[email protected]