Я выполнял быстрое сканирование портов на работе (Nmap 6, OS X 10.6.8) и заметил, что почти на всех компьютерах вокруг меня работала служба под названием "netvenuechat" на порту 1023. Хотя я просмотрел несколько сообщений на форуме и обнаружил, что многие другие используют тот же сервис, я не нашел внятного ответа относительно действительности этого сервиса.
Это обычная фоновая служба или эта часть вредоносного ПО?
Nmap не имеет совпадения с обнаружением служб для netvenuechat , поэтому метка применяется в качестве простого поиска 1023/tcp в файле nmap-services. Если вы хотите выяснить, что на самом деле работает на этом порту, вы можете выполнить проверку обнаружения службы / версии с помощью параметра -sV или попытаться определить, какой процесс прослушивает, запустив команды на целевом компьютере (все они требовать права администратора / root):
Команды Windows: netstat -anb , SysInternals TCPView
Команды Linux: netstat -tanp , lsof -n -i
Официально, согласно IANA (Орган по присвоению номеров в Интернете), порт 1023 является "зарезервированным" независимо от того, используется ли он для TCP или UDP.
Многие сайты утверждают, что перечисляют известные пакеты программного обеспечения (легальные и вредоносные) и известные протоколы, которые используют различные порты, и трудно понять, кому доверять. Тем не менее, этот список на SpeedGuide.net кажется вполне законным, и в нем перечислены следующие известные пользователи:
Если вы не знакомы с людьми в вашей компании, использующими Nortel NetVenue или Microsoft NetMeeting (которые, как мне кажется, раньше были встроены в Windows), и если есть вероятность, что люди все еще используют Windows XP или Windows 2000, то они вполне могут заражен вредоносной программой Sasser. С другой стороны, это может быть какой-то другой программный продукт, который использует этот порт.
