[Nlnog] sobig

[Richard Hartensveld]

Hoi,

On 23-Aug-2003 Pim van Pelt wrote:
> Hi,
> 
> Gisteren rond 19.00 GMT heb ik vol spanning zitten kijken naar onze
> routers bij BIT en ons verkeer naar destination port 8998. Om 19.00
> zouden alle geinfecteerde dozen een update gaan halen mbv verkeer op
> een of andere lijst van IPjes. Om 22.00 ben ik maar weer uitgelogd,
> waarbij de vangst van de dag vooral DNS verkeer was (11 packets 
> gezien ;-)
> 
> Nou kan het zijn dat access netwerken er meer last van hebben. Heeft
> er iemand opgelet en zo ja: wat zijn jullie bevindingen van vannacht ?
> 
> Check ook http://www.sophos.com/virusinfo/articles/sobigiplist.html

Rond 21:03 kwamen bij ons de eerste pakketjes voorbij richting ip adressen uit
die lijst. (virus begon om 19:00 UTC)

Tot nu toe heb ik zo'n 800 pakketjes getarget die ip's op 8998/udp voorbij
zien komen.

Het merendeel daarvan zijn overigens retries naar een nieuw IP hetzelfde source
ip.

-- 
---------------------------------
Richard Hartensveld
Concepts ICT
St. Ignatiusstraat 265
4817 KK  Breda
tel. +31-76-5221555
fax. +31-76-5310531