| Alerta do CAIS ALR-14052003Aumento de atividade na porta 17300/tcp [CAIS, 14.05.2003, revisão 01] No último mes, o CAIS identificou um aumento considerável de atividade na porta 17300/tcp. A constatação e análise desta atividade foi possível graças ao mecanismo de monitoração de acessos a portas mantido pelo CAIS. A porta 17300/tcp é atribuída ao worm "kuang2", constando na lista de portas com reconhecidos códigos maliciosos (worms,virus e trojans) associados: http://www.sans.org/resources/idfaq/oddports.php#top Pesquisando o ocorrido, o CAIS chegou aos resultados obtidos pela LURHQ Corporation (www.lurhq.com) sobre o recente aumento de atividade na porta 17300/tcp nas redes de seus clientes. Tal estudo descreve um meta-trojan, denominado "Milkit", que infecta máquinas já contaminadas pelo kuang2 ou Subseven. O referido estudo da LURHQ está disponível em: http://www.lurhq.com/sig-milkit.html Maiores informações sobre o "kuang2" podem ser obtidas em:
http://www.dark-e.com/archive/trojans/kuang/tv/index.shtml
Ressalta-se que a maioria dos anti-virus é capaz de detectar o kuang2 e Subseven, mas não de acusar a presença do Milkit. Assim, segundo a LURHQ, a regra do snort capaz de detectar máquinas infectadas pelo Milkit é a seguinte: alert tcp $HOME_NET any -> $EXTERNAL_NET 6666:7000 (msg:"Milkit Trojan O CAIS recomenda aos administradores que mantenham os anti-virus sempre atualizados e fiquem atentos à atividade análoga à reportada neste alerta nas redes sob sua responsabilidade. | Contato com o Cais: +55 (19) 3787-3300 |