Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 3/12/2003
Årsagen til den stigende trafik mod UDP-portene 1026 og 1030 ser ud til at være spam, der udsendes via Messenger-tjenesten i Windows. Trafikken stammer måske fra et program, der giver sig ud for at standse netop den type spam.Som DK-CERT skrev i går, har der det sidste par uger været en stor stigning i antallet af datapakker sendt til portene 1026 og 1030. Datapakkerne er kendetegnet ved, at de kun indeholder to byte, der begge har værdien nul.
Sikkerhedsforskere mener nu, at der er tale om trafik i tilknytning til dialogboks-spam. Det er reklamer, som dukker op som en tekstboks på offerets pc. Beskeden sendes via den såkaldte Messenger-tjeneste, der er indbygget i Windows.
Cedric Foll skriver på diskussionslisten Security Incidents, at han har prøvet at svare på en af pakkerne. Derefter modtog hans pc en spam-dialogboks, der reklamerede for et program, som angiveligt kan standse dialogboks-spam. Dermed kan den første datapakke være et forsøg på at se, om der er nogen, der svarer på den pågældende port. Er der det, fortsætter afsenderen med at sende spam til offeret.
Internet Storm Center oplyser, at flere brugere har set deres pc'er begynde at udsende pakker til portene, efter at de har installeret det pågældende program. Centeret har dog ikke selv observeret en lignende opførsel.
Johannes Ullrich fra centeret har offentliggjort en liste over IP-adresser, der udsender pakkerne. Han oplyser, at der er tale om godt 5.000 forskellige adresser.