Le port UDP/1026 est traditionnellement utilisé en entreprise pour transmettre des messages par le biais du protocole Mailslot. Mais aujourd'hui, il est surtout utilisé par certaines sociétés à des fins publicitaires, c'est à dire à du spam. En effet, l'envoi d'un message sur ce port provoque, à condition qu'il ne soit bloqué par aucun pare-feu et que le service "Affichage des messages" soit actif, l'affichage d'une fenêtre avec un message vous invitant la plupart du temps à aller télécharger un logiciel ... empêchant justement l'apparition de ce genre de fenêtres intempestives.

Depuis quelques jours, nous notons sur nos sondes une recrudescence de paquet arrivant sur ce port. Le message, déjà rencontré auparavant, se présente sous la forme d'un bulletin de sécurité Windows indiquant qu'une faille a été découverte sur plusieurs versions de Windows et que notre système est vulnérable. Il nous invite alors à nous rendre sur le site http://www.patchupdate.info/ afin de télécharger un correctif.

La page en question reprend étrangement les couleurs bleu et blanc et la mise en page d'un (presque) vrai bulletin Microsoft. Le seul lien de la page nous emmène alors vers un site de vente en ligne où est indiqué, tout de même, qu'il faut s'acquitter de 19.95 $ pour télécharger un logiciel censé bloquer ces pop-up !

A noter que cette recrudescence, bien qu'ayant peu d'impact pour la majorité des utilisateurs à notre époque, apparait aussi dans l'outil de monitoring du SANS Institute.