Erhöhte TCP/5000-Aktivität offenbar durch 2 Würmer

Internet & Webdienste Der allgemein beobachtete erhöhte TCP/5000- Netzverkehr ist offenbar auf zwei neue Würmer zurückzuführen. Der Wurm Bobax alias W32.Bobax.A, W32/Bobax.worm.a, TrojanProxy.Win32.Bobax.a, nutzt TCP/5000-Scans als Detektionsmöglichkeit von Windows XP ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Hmm mal ne frage: was is denn der: TCP/5000- Netzverkehr? Weiss das jemand?

Thx in advance,

K.
 
Antwort auf den Kommentar von SirKkk: port 5000 is normalerweise zu bei windoze, soweit ich weiss. der port wird nur geöffnet wenne dir so n ding eingefangen hast
 
port 5000 ist, glaub ich, der upnp port.
 
ahhhhhhhhh deswegen... __- ich hab mein psybnc immer auf port 5000 laufen auffa linux kiste, und in den letzten tagen hab ich bestimmt alle 30 sekunden ein connect versuch gehabt hehe __- kein wunder das meine log so zugespamt wurde :) __ danke, nu bin ich aufgeklärt :)
 
Der Port 5000 ist nur bei winxp (aber nicht bei win2k/98) geöffnet.
Es ist der POort für UPNP und mit dem testen des Wurms auf diesen Port stellt der Wurm sicher, das er nur Windows XP Rechner befällt.
Damit vermeidet der Wurm, das er durch eine versuchte infizierung von Win2k (wo die offset Adresse für den Buffer overflow unterschiedlich ist) einen crash beim infizieren verursacht.
Das Sasser einen crash verursacht hat war nämlich eine Nebenwirkung weil er nicht getestet hat. Natürlich fällt jedem dann die infizierung auf (weil der Rechner neu gestartet wird weil der Dienst abgestürzt ist) und deswegen versuchen die Viren-Autoren somit den crash zu vermeiden.
 
Nochmal: Der Crash der LSASS-Dienstes durch Sasser ist kein Fehler, sondern ein prinzipielles Problem, wenn man mehr als einen Offset im BO nutzt, um mehrere verschiedenen Systeme (Win2K SP4, WinXP SP1) zu infizieren und dabei keine riesigen Mengen als Füllinstruktionen verwenden möchte (denn dadurch wird der unkomprimierte Wurm richtig fett). Auch bei Blaster wurde dieses Problem wissentlich in Kauf genommen und auch schon damals die Auswahl des Offsets nach der Gegebenheit der System-Verteilung (10% Win2K, 90% WinXP) ausgewählt.
 
Unbedingt UPNP Dienst Deaktivieren...war schon immer als Risiko bekannt und nutzt eigendlich überhaupt nix...
 
Gut, dass ich 'nen Router habe. Da bestimme ich selbst, welche Ports forwarded werden Praktisch, selbst wenn sich WinXP selbständig macht, hab ich noch Sicherheit durch den Router :)
 
Aem schon einmal was von eijer Firewall gehört ?
Port 80 freigeben und den Rest sprenn - ok je nach belieben noch andere freigebn,sofern man Autoupdate aktiviert hat u.o.ä.
Dann kriegt man sowas doch net - pro Std hab ich locker 600 - 800 Blocks - na Angst bekommen -> Firewall besorgen -> Ich nutze ZoneAlarm :-)
 
Wie kann ich meine post editieren ?
THX :-)
 
Antwort auf den Kommentar von JagoJason klicke oben auf "MyWinfuture", da kannst du all deine Beiträge sehen bzw editieren
 
Schon wieder einer der glaubt, daß ZoneAlarm eine Firewall wäre und zudem durch seine Nichtunterscheidung von Source und Destination Port sowie den unabdinglichen Glauben, daß alle Webserver nur auf Port 80 liefen beweist, daß ihm auch das nötige Grundwissen fehlt, um einen Paketfilter korrekt zu administrieren.
 
Ja, ja, ja den UPNP Dienst kann man auch per Hand los werden. Wer keinen Bock dafür hat, mit diesem netten 22kB Tool gehts einfacher: http://grc.com/UnPnP/UnPnP.htm
 
Hier gibt es ein kleines tool damit kannst du den dienst für den port 5000 - ssdp suchdienst deaktivieren oder du deaktivierst ihn in deinen diensten. den port brauchst du nur bei einem netzwerk über ics!
hier der link: http://grc.com/default.htm
 
1. Zu faul zum Lesen. Über dir steht genau der gleiche Tipp. 2. UPnP wird auch bei ICS weder benötigt noch empfohlen noch dient es irgendeinem Zweck, der für ICS spezifisch wäre. 3. Wenn du schon auf die Page eines Trottels verlinkst, dann bitte nicht auf die Hauptseite. Bis man sich zu dem Tool durchgeklickt hat, ist man schon geistig geschädigt.
 
ein nachbar von mir hat sich den w32.bobax.c eingefangen, weil das entscheidende win-update gefehlt hat... das war ein spass, bis das ding endlich weg war... dabei langt das regelmäßige updaten, ein guter+aktuell gehaltener virenschutz und menschenverstand um 90% der schädlinge loszuwerden... aber es sind halt leider viele ältere leute unterwegs, die nicht so pc-versiert sind und schon bricht das chaos im netz aus... wo bleibt nur der richtige volks-pc, den jeder ohne bedenken bedienen kann???
 
Gibt's doch schon lange: Nennt sich Apple Macintosh, arbeitet mit einem professionellen und schon per Default gut gesichertem Unix-Derivat unter absolut DAU-tauglicher Oberfläche und hat nebenbei dank enger Hardwareauswahl auch kaum Kinderkrankheiten. Aber dieser Service-Luxus hat auch seinen Preis und denn will das Volk nicht anerkennen, kauft stattdessen lieber thermisch und softwaretechnisch instabile Wintel/Wintendo-Krücken, von denen alles mögliche behauptet wird, nur nicht die Wahrheit.
 
Den Dienst "Universeller Plug & Play-Gerätehost" deaktivieren ! Wer Adaware benutzt, braucht das nicht mehr explizit tun.
 
Falsch, der SSDP-Suchdienst ist derjenige, der für den offenen Port TCP 5000 verantwortlich ist.
 
Warum falsch?
Klar ist das Upnp, SSDP ist ein Dienst davon, soviel ich weiss.
Aber was soll man von einem verkappten Mac-Jünger auch erwarten :-)

Es besteht einfach nicht das Interesse einen MAC anzugreifen. (die paar MAC's :-)) Möglichkeiten gibts wie in letzter Zeit immer öfters bekannt wird genug. Und wenn man die richtigen User vor einen MAC sitzt,(ich sag nur Webdesigner-Schulen)dann schmiert der auch täglich 3x ab.
 
Du kannst beide Dienste unabhängig voneinander aktivieren und deaktivieren, aber nur der SSDP-Suchdienst macht dich auf Port 5000 erreichbar.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen