12-02-04

HEBT U SINIT BIJ U OP BEZOEK ?

meer over het SINIT trojan netwerk
http://www.lurhq.com/sinit.html
Belangrijk hier is dat het gaat over traffiek op de poort 53, maar dat het geen dns traffiek is, al tonen veel indicatoren een enorme toename hierin aan. (oa de link op nu attacked bovenaan, toont je die traffiek aan)
men schat het aantal pc's dat geïnfecteerd is op tienduizenden wereldwijd
het wordt vooral gemaakt om via dialers je modem naar dure internationale lijnen af te leiden en door het aanpassen van je browsersettings met de trojan/scumware coolwebsearch in al haar varianten.
Je kan het verwijderen met cwshredder dat je vindt op
http://www.spywareinfo.com/~merijn/cwschronicles.html
ze noemt ook W32/Calypso (AKA: BackDoor-BAM, BackDoor.Calypso, Backdoor.Sinit, Bck/Initsvc.B, BKDR_CALYPS.A, Trojan.Apolyps, Trojan.FakeSvc.A, Win-Trojan/Calypso.58880).
 

Please monitor your networks for any outgoing port 53 packets that match the following BPF: dst port 53 and (udp[8] = 1 and (udp[12:2] > 1000 or udp[14:2] > 1000 or udp[16:2] > 1000 or udp[18:2] > 1000 or udp[10:4] = 0))

en voor

A tcpdump filter that is effective in observing the initial probe is:

dst port 53 and (udp[8] = 1 and (udp[12:2] > 1000 or udp[14:2] > 
1000 or udp[16:2] > 1000 or udp[18:2] > 1000 or udp[10:4] = 0))

Unfortunately, that filter only matches the initial probe, not the follow-on refinement. To date, there have been few observed exchanges, and only with BIND 9.2x servers. In each case, it was "DDNS Update Failed" message with a ID# of 1409:

(dst port 53) and (udp[8:2] = 1409) and (udp[10] >> 3 = 0x15) 
and (udp[11] & 0x0f != 0)                    Transaction            
QR = Response               RCODE is not                     ID# 1409            
OPCODE=DDNS update             "no error"

Complete exchanges with a BIND 9.2x nameserver:

10/05/2003 16:13:11.304626 172.145.206.27.11924 > 10.10.10.48.53: 
[udp sum ok]  256 [1a] [0q] [44177n] [52763au] .^@^@^@^@[|domain] 
(ttl 109, id 31823, len 42)
10/05/2003 16:13:11.305030 10.10.10.48.53 > 172.145.206.27.11924: 
[udp sum ok]  256 FormErr [0q] 0/0/0 (12) (ttl 63, id 7320, len 40)
10/05/2003 16:13:11.960102 172.145.206.27.11924 > 10.10.10.48.53: 
[udp sum ok]  1409 update NXRRSet|% [58421q] q: Type0 (Class 0)? ., 
q:[|domain] (ttl 109, id 31828, len 35)
10/07/2003 05:47:19.703728 172.160.105.177.7686 > 10.10.10.47.53:  
256 [84a] [0q] [44192n] [27057au] ^^^LM-]'HM--.domain] 
(ttl 108, id 14209, len 540)
10/07/2003 05:47:19.704295 10.10.10.47.53 > 172.160.105.177.7686:
 [udp sum ok]  256 FormErr- [0q] 0/0/0 (12) (DF) (ttl 63, id 0, len 40)
10/07/2003 05:47:19.982194 172.160.105.177.7686 > 10.10.10.47.53: 
[udp sum ok]  1409 update NXRRSet|% [58165q] q: Type0 (Class 0)? ., 
q:[|domain] (ttl 108, id 14210, len 35)

http://people.ists.dartmouth.edu/~gbakos/bindsweep/

ekz


 
 

23:47 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

De commentaren zijn gesloten.