Dat is de tussentijdse uitslag van een honeypot-test die Microsoft sinds begin juli heeft draaien. Met een protocol analyzer wordt sindsdien bijgehouden welke poorten werden aangevallen, waar de aanvallen vandaan komen, wat voor wachtwoorden worden geprobeerd en welke wormen de revue passeren.

In bijna 43 procent van de gevallen waren de aanvallen gericht op poort 135, waar de endpoint mapper van Microsoft Remote Call Procedure (RPC) gebruik van maakt. Geen van de RPC-aanvallen probeerde misbruik te maken van het Windowslek dat Microsoft vorige week in allerijl heeft gedicht, zo schrijven de onderzoekers Alexei Saygo en Patrik Vicol op het Technetblog van de Malware Protection Center. Op de tweede plek komt een oude bekende; poort 445 (Windows Directory Service, DS) haalde bijna een vijfde op van alle aanvallen.

De twee hebben ook dictionary-aanvallen gedocumenteerd op de ftp, waarbij soms in een paar minuten tijd meer dan tienduizend wachtwoorden worden geprobeerd. Deze blijven redelijk simpel, zoals namen van figuren uit films en stripboeken, verjaardagen, en zelfs namen van verschillende browsers. Uiteraard zitten er ook 'sterke' wachtwoorden bij die voldoen aan de eisen maar makkelijk te raden zijn, zoals q1w2e3r4.

Bejaarde methodes worden ook nog steeds gebruikt, waaronder de bekende spam via de Messenger welke in 2004 via SP2 standaard uit staat in Windows XP. Verrassender is volgens het blog dat SQL Slammer nog steeds rondwaart, een worm uit 2003 die met DoS-aanvallen een internetverbinding kan vertragen of platleggen. Bron: Techworld