Autor Tema: subseven y qaz (Leído 3450 veces)

kyoku · « **en:** 10 de Septiembre de 2004, 01:58:53 pm »

Hola a tod@s,

Después de hacer un escaneo a ciertas máquinas que tengo en una red interna veo que aparecen tres de ellas con los puertos 7597 qaz y 27374 subseven.
He estado informandome, he pasado el adware y los antivirus actualizados y no me detectan nada pero siguen apareciendo los puertos abiertos; estoy infectado?

que medidas he de tomar al respeto? (por cierto que todo son W2k)

he mirado en las entradas de registro que se comentan pero no he encontrado ni rastro, sin embargo, porque aparecen abiertos esos puertos?

gracias de antemano

kyoku · « **Respuesta #1 en:** 10 de Septiembre de 2004, 04:48:27 pm »

Disculpad los puertos en cuestión no aparecen abiertos sino filtrados.

Si no detecto nada ni con el adware, ni con el cleaner, ni con los av actualizados...., porque siguen apareciendo?

ando un poco perdido

choche · « **Respuesta #2 en:** 13 de Septiembre de 2004, 06:55:59 pm »

Has probado a escanear esas máquinas con otro programa o desde otra web online?

ALP · « **Respuesta #3 en:** 13 de Septiembre de 2004, 08:02:22 pm »

¿Qué programa filtra esos puertos?

Sobre subseven y qaz, lo más interesante que he encontrado está en el sitio de symantec...
http://www.symantec.com/avcenter/venc/data/backdoor.subseven.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.qaz.a.html

...donde te explica cómo quitarlo a mano. Quizás hayas estado infectado y tu antivirus mantiene el filtro sobre los puertos.

Un saludo.

kyoku · « **Respuesta #4 en:** 14 de Septiembre de 2004, 10:53:14 am »

efectivamente, al parecer el pccillin filtra los puertos pero también hay más puertos filtrados que no aparecen, lo que yo no entiendo es porque aparecen.

Si es que están filtrados pero no están infectados los equipos con lo cual me imagino que no hay nada a la escucha...., como es que siguen apareciendo??.

espero que me haya explicado...., gracias por todo

ALP · « **Respuesta #5 en:** 14 de Septiembre de 2004, 07:24:00 pm »

Es posible que los filtre por defecto? O quizás es que los equipos hayan estado infectados y los haya filtrado automáticamente. Ten en cuenta que esos puertos están por encima del 1024. Los primeros 1024 están "reservados" para "servicios conocidos" (ftp, http, etc), por lo que es probable que por eso te aparezcan. ¿Los otros puertos filtrados están por debajo del 1024?

Un saludo.

kyoku · « **Respuesta #6 en:** 15 de Septiembre de 2004, 12:48:38 pm »

Pues en una máquina aparecen por debajo del 1024:

135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

y en otra veo el 6969/tcp acmsoda, pero como OPEN!

veo que aparece en los listados de puertos pero no encuentro ninguna referencia al mismo....

empieza la paranoia.....

ALP · « **Respuesta #7 en:** 15 de Septiembre de 2004, 09:07:05 pm »

Hola de nuevo.

acmsoda parece ser que es un troyano también conocido como GateCracher. Tienes más información en:

http://www.terra.es/personal7/ltaberna/Troyano/gatec.html

http://www.pestpatrol.com/pest_info/es/g/gatecrasher.asp

Los otros son servicios de windows. Posiblemente aparecen porque tiene activado el cliente para redes de microsoft

Un saludo.

MClaud · « **Respuesta #8 en:** 21 de Septiembre de 2004, 09:24:00 pm »

Hola, los puertos que mencionas no son exclusivos de subseven ni de qaz pero yo empzaria por preocuparme de cerrar esos puertos en el firewall ó el portblocker

puerto 139 Chode, Fire HacKer, Msinit, Nimda, Opaserv, Qaz
puerto 445 Nimda
puerto 7597 Qaz
puerto 27374 Bad Blood, Fake SubSeven, li0n, Ramen, Seeker, SubSeven , SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven 2.2, SubSeven Muie, The Saint

Ademas de ello cerraria todos los puertos usados por Qaz y Sub Seven
¿Hay alguien interesado en hacer sus practicas en tu pc ??, quizas llego solo de casualidad pero yo soy paranioca en ese sentido

puerto 137 Chode, Nimda
puerto 137 (UDP) - Bugbear, Msinit, Opaserv, Qaz
puerto 80 711 trojan (Seven Eleven), AckCmd, BlueFire, Cafeini, Duddie, Executor, God Message, Intruzzo , Latinus, Lithium,MscanWorm, NerTe, Nimda, Noob, Optix Lite, Optix Pro ,Power, Ramen, Remote Shell , Reverse WWW Tunnel Backdoor ,RingZero, RTB 666, Scalper, Screen Cutter , Seeker, Slapper, Web Server CT , WebDownloader
puerto 80 (UDP) - Penrox
puerto 1080 SubSeven 2.2, WinHole
puerto 1243 BackDoor-G, SubSeven , Tiles
puerto 1369 SubSeven 2.2
puerto 1999 Back Door, SubSeven , TransScout
puerto 2772 SubSeven
puerto 2773 SubSeven , SubSeven 2.1 Gold
puerto 2774 SubSeven , SubSeven 2.1 Gold
puerto 5873 SubSeven 2.2
puerto 6667 Acropolis, BlackRat, Dark FTP, Dark IRC, DataSpy Network X, Gunsan, InCommand, Kaitex, KiLo, Laocoon, Net-Devil, Reverse Trojan, ScheduleAgent, SlackBot, SubSeven , Subseven 2.1.4 DefCon 8, Trinity, Y3K RAT, yoyo
puerto 6711 BackDoor-G, Duddie, KiLo, Little Witch, Netkey, Spadeace, SubSARI, SubSeven , SweetHeart, UandMe, Way, VP Killer
puerto 6713 KiLo, SubSeven
puerto 6776 2000 Cracks, BackDoor-G, SubSeven , VP Killer
puerto 7000 Aladino, Gunsan, Remote Grab, SubSeven , SubSeven 2.1 Gold, Theef
puerto 7215 SubSeven , SubSeven 2.1 Gold
puerto 16959 SubSeven , Subseven 2.1.4 DefCon 8
puerto 27573 SubSeven
puerto 54283 SubSeven , SubSeven 2.1 Gold

Noticias:

Autor Tema: subseven y qaz (Leído 3450 veces)

kyoku

kyoku

kyoku

kyoku