Informację taką potwierdził Symantec, którego usługa DeepSight odnotowała dużą liczbę pakietów kierowanych do portu TCP 5168, który jest wykorzystywany przez oprogramowanie ServerProtect (a konkretnie przez RPC; Remote Procedure Call).

Może to świadczyć o tym, że włamywacze skanują komputery chronione przez oprogramowanie antywirusowe ServerProtect, starając się znaleźć w nim dziury i słabe punkty. Być może dziury takie zostały już zlokalizowane i będą wykorzystywane. Symantec informuje też, że jego systemy "honeypots" (specjalne, niezabezpieczone systemy, mające za zadanie przyciągać włamywaczy) odnotowały co najmniej jedną udaną próbę obejścia zabezpieczenia ServerProtect.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

W szczytowym momencie włamywacze skanowali porty TCP 5168 znajdujące się w 1000 systemach i urządzeniach sieciowych pracujących na całym świecie. Stwierdzono, że ataki były wyprowadzane z ponad 300 różnych adresów IP.

Zwiększone zainteresowanie portami TCP 5168 zaobserwował też ISC (SANS Institute). ISC zgromadził już pakiety kierowane do tego portu i programiści analizują je obecnie dokładnie, celem sprawdzenia czy nie zawierają szkodliwego kodu.

Trend Micro ze swej strony zaleca użytkownikom oprogramowania ServerProtect (jak i innych produktów), aby instalowali na komputerach na bieżąco wszystkie publikowane przez niego i udostępniane bezpłatnie łaty i poprawki.