Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 2/12/2003
En række computere på internettet modtager for tiden opkald til UDP-portene 1026 og 1030. Datapakkerne indeholder næsten ingen data, så det er et mysterium, hvad afsenderne forsøger at opnå.Hos Internet Storm Center registrerer man normalt under 500 pakker om dagen til port 1030. Men den 1. december var tallet over 10.000. En tilsvarende tendens gælder for port 1026.
DK-CERT har observeret en lignende tendens på en centralt placeret router i Danmark. Her var der ingen pakker til portene inden den 22. november, mens der den 1. december blev sendt over 46 millioner byte data til dem.
Datafeltet i pakkerne indeholder to byte, der begge har værdien nul. Dermed kan de ikke indeholde programkode fra en orm. Nogle iagttagere gætter på, at pakkerne kan være led i testen af en ny orm, der skal angribe de pågældende porte.
Hovedparten af trafikken er rettet mod portene 1026 og 1030, men nogle pakker sendes til andre porte i området 1026-1031. I nogle tilfælde starter trafikken med en NetBIOS-forespørgsel sendt til port 137.