[LACNIC/Seguridad] Flujo de trafico UDP, puerto 42 a 224.0.1.24
Gaston Franco
gfranco en arcert.gov.ar
Vie Mar 13 11:49:30 BRT 2009
Hola Carlos,
pensando primero en un posible uso normal
Según el IANA:
http://www.iana.org/assignments/multicast-addresses/
esa direccion Multicast esta asignada a "microsoft-ds"
y puede ser el resultado de servidores WINS en la red ( realizando replicación
automática de configuraciones...)
Obviamente, también puede ser alguna otra cosa, con lo cual es necesario
realizar una captura del tráfico y analizar..
saludos,
Gastón
--
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar
Te: (54-11) 4343-9001 int.512/514 | 4345-0383
Fax:(54-11) 4343-7458
Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------
Carlos M. Martinez wrote:
> Hola a todos,
>
> hoy me enfrente con un equipo (en realidad, una maquina virtual vmware),
> Windows 2003 Enterprise, que estaba generando perturbaciones en la red
> enviando un flujo de casi 4 Mbps de paquetes UDP, puerto de origen y
> destino 42 (Microsoft WINS) y destino al grupo multicast 224.0.1.24
>
> Esto empezó de un momento a otro, sin mediar accion sobre la VM alguna.
>
> He estado buscando en Internet referencias a algun malware que haga
> esto, pero no he encontrado nada... ¿alguien ha visto algo similar?
>
> slds
>
> Carlos
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
--
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar
Te: (54-11) 4343-9001 int.512/514 | 4345-0383
Fax:(54-11) 4343-7458
Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------
Más información sobre la lista de distribución Seguridad