[nsp-sec-jp] IMS report: TCP/42 (WINS) scanning measurements

[Taka Mizuguchi]

nsp-sec-jp各位、

IMSプロジェクトからのレポートを転送します。

投稿者は、以下の方です。

jose nazario, ph.d., worm, ddos researcher
jose ＠ arbor.net


＜和訳＞
IMSプロジェクトは、最近のWINSのexploitに関連するTCP42番ポートの
解析を行っている。このレポートは、以前Danny Mcphersonからnsp-sec
に投稿したものです。

レポート:
	http://ims.eecs.umich.edu/reports/port42/

このトラフィックは、「autorooter」ツールキットと関係があると思わ
れるものでワームではありません。expolitペイロードの中には、数百の
ソースIPから多様な活動が観測された。これらのペイロードはお互いに
似ており2004年終わりのk-otikサイトのzucが投稿したexploitと属性が
似ている。


注：
autorooter：
攻撃ツールの一種。脆弱性をスキャンして発見し、その脆弱性をついて
ターゲットに侵入するまでを自動化かしたツール。


Forwarded by Taka Mizuguchi <taka ＠ ntt.net>
----------- nsp-security-discuss Confidential --------

the IMS project has released an analysis of the traffic on TCP port 42
associated with recent WINS exploit activity. this report was previously
posted to nsp-sec by danny mcpherson, also of arbor networks.

the report is located here:

	http://ims.eecs.umich.edu/reports/port42/

this traffic appears to be associated with an autorooter toolkit and not a
worm. we have measured several hundred source IPs for the activity along
with some diversity in exploit payloads. these payloads are similar to
eachother and very similar to the exploit attributed to zuc posted on the
k-otik website at the end of 2004.




-----
Taka Mizuguchi
taka ＠ ntt.net