Øget trafik kan tyde på den trojanske hest Netbus

Artiklen blev oprindeligt publiceret den 8/5/2002

De senere dage har der været godt gang i TCP-port 12345 på de danske net. Den anvendes ofte af den trojanske hest Netbus.

Trafikken toppede den 1. maj, hvor DK-CERT registrerede dobbelt så mange pakker til og fra port 12345 som i dagene før. Det kan være et tegn på, at flere maskiner er inficeret med Netbus. Da programmet imidlertid også kan anvendes til lovlig fjernstyring, er det ikke sikkert.

Netbus kan optræde som en trojansk hest, som en bruger installerer uden at vide det. Hvis pc'en ikke er beskyttet af en firewall, kan en hacker herefter kontakte Netbus-programmet på pc'en og bruge det til at fjernstyre den med. For eksempel kan han lade al trafik fra sin egen maskine gå gennem den inficerede pc, så portscanninger ser ud til at komme fra den.

Der findes også en kommerciel version af Netbus, der kan anvendes som et fjernstyringsprogram.

Den oprindelige version af programmet anvendte kun port 12345, mens nyere versioner kan indstilles til at bruge flere andre porte.

Links