[FORA DO TOPICO][Fwd: Atividade suspeita]

To: debian-user-portuguese <debian-user-portuguese@lists.debian.org>
Subject: [FORA DO TOPICO][Fwd: Atividade suspeita]
From: Marcio de Araujo Benedito <china@pbh.gov.br>
Date: 15 May 2003 13:57:43 -0300
Message-id: <[🔎] 1053017862.2277.17.camel@prodabel150.pbh>

Pessoal;

Achei interessante repassar para esta lista, visto que aqui tambem estao
administradores de redes.

[]'s
-- 
--------------------------------------------------------
Márcio de Araújo Benedito <china@pbh.gov.br>
Usuário Debian GNU/Linux

"In a world without walls, who needs Windows?"

--- Begin Message ---

To: seguranca@pbh.gov.br
Cc: softwarelivre@pbh.gov.br
Subject: Atividade suspeita
From: Evandro Oliveira <evandro@pbh.gov.br>
Date: Thu, 15 May 2003 12:10:20 -0300
Message-id: <5.2.0.9.0.20030515120950.026be908@pop3.br.inter.net>

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

No ultimo mes, o CAIS identificou um aumento consideravel de atividade na
porta 17300/tcp. A constatacao e analise desta atividade foi possivel
gracas ao mecanismo de monitoracao de acessos a portas mantido pelo CAIS.

A porta 17300/tcp e' atribuida ao worm "kuang2", constando na lista de
portas com reconhecidos codigos maliciosos (worms,virus e trojans)
associados:

	http://www.sans.org/resources/idfaq/oddports.php#top

Pesquisando o ocorrido, o CAIS chegou aos resultados obtidos pela LURHQ
Corporation (www.lurhq.com) sobre o recente aumento de atividade na porta
17300/tcp nas redes de seus clientes. Tal estudo descreve um meta-trojan,
denominado "Milkit", que infecta maquinas ja contaminadas pelo kuang2 ou
Subseven.

O referido estudo da LURHQ esta' disponivel em:

	http://www.lurhq.com/sig-milkit.html

Maiores informacoes sobre o "kuang2" podem ser obtidas em:

	http://www.dark-e.com/archive/trojans/kuang/tv/index.shtml
	http://vil.mcafee.com/dispVirus.asp?virus_k=10213&;
	http://isc.incidents.org/port_details.html?port=17300

Ressalta-se que a maioria dos anti-virus e' capaz de detectar o kuang2 e
Subseven, mas nao de acusar a presenca do Milkit. Assim, segundo a LURHQ,
a regra do snort capaz de detectar maquinas infectadas pelo Milkit e' a
seguinte:

alert tcp $HOME_NET any -> $EXTERNAL_NET 6666:7000 (msg:"Milkit Trojan
Outbound IRC Connection"; flow:to_server,established; content:"JOIN
##milkit "; nocase; reference:url,www.lurhq.com/sig-milkit.html;
classtype:misc-activity; sid:1000005; rev:1;)


O CAIS recomenda aos administradores que mantenham os anti-virus sempre
atualizados e fiquem atentos a atividade analoga a reportada neste alerta
nas redes sob sua responsabilidade.

Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# cais@cais.rnp.br     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################


-----BEGIN PGP SIGNATURE-----

--- End Message ---

Reply to:

Prev by Date: Re: Duvidas PPPoE
Next by Date: Re: Xterm em 256 cores [reaberto]
Previous by thread: Re: removendo kde
Next by thread: Placa de som ac97
Index(es):
- Date
- Thread