Connection sortante suspecte...

[Na+]

Salut,

Depuis que j'ai KPF, j'ai l'occasion d'observer les flux sortants du PC.

Avec le processus avast! WebScanner, alors que les pages Web avaient du mal à charger, j'observe un flux sortant de presque 5 Go (si je m'en souviens bien...) sur le site http://corwin.metaconsult.fr/ par le port 1029.

Je me suis plusieurs fois connecté et déconnecté pour stopper cette connection, mais elle revenait tout le temps...

J'ai alors fait une recherche sur ce site et pour y accéder, on doit taper 1 mot de passe pour soit disant avoir le droit d'administrateur...

J'ai donc répertorié ce site dans les options Internet de Windows dans Sites sensibles et depuis, il n'y a plus rein eu...

Donc, je pense qu'il doit y avoir un pépin dans mon PC...avis aux experts...

@+++
-----

[Cyrrus]

Bonsoir Na+,

Peux être une backdoor. De ce que je trouve sur le port 1029, il pourrait s'agir de cela, même si la page ne me parait pas vraiment être une page suspecte...

Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

Bonne soirée
Cyrrus

[Na+]

Salut,

Bon, je ne pourrai faire la procédure que demain ou quand je pourrai...

Je te joins les autres détections de connections vues par mon FireWall et les processus en cours...

Test d'AVG AS en mode normal, rien de suspect...

Je le ferai en mode sans échec une autre fois!

@+++

[invite597d4991]

A mon avis c'est une simple requête DNS...

[A voir en vidéo sur Futura]

[Cyrrus]

Salut overmind,

Je veux bien te croire, mais ca ne te parait pas un peu beaucoup en terme de volume d'échange pour une simple requête dns ?

Bonne aprem
Cyrrus

[invite597d4991]

C'est vrai que 5Go c'est beaucoup (j'avais mal lu, DSL) quel était le port d'arrivée?
Cependant il n'y a vraiment rien d'alarmant sur le screenshot.

Une petite analyse avec wireshark peut être?

[Cyrrus]

Re,

Une petite analyse avec wireshark peut être?

Eh bien...pourquoi pas...mais je te laisse lui expliquer comment faire dans ce cas, tu es plus calé que moi là dessus

Bonne aprem
Cyrrus

[invite597d4991]

Eh bien...pourquoi pas...mais je te laisse lui expliquer comment faire dans ce cas, tu es plus calé que moi là dessus
Cyrrus

Volontiers,

Mini HOW-TO wireshark:
1- Télécharcher Wireshark:
http://www.wireshark.org/download.html
2-Le lancer, se rendre à l'entrée 'interfaces' du menu 'Capture'.
3-Choisir l'interface adaptée en cliquant sur 'Prepare'
4-Dans le champ 'Capture Filter' mettre : udp port 1029
5-Lancer la capture, et attendre d'avoir assez de paquets (genre une dizaine)
Cliquer alors sur 'Stop'.
6-Les options d'analyse par défaut de wireshark devraient déjà te renseigner amplement sur la nature de la transmission (onglet Protocol)... Sinon tu peux toujours sauvegarder la capture et faire parvenir le fichier sur le forum.

Voilà... C'est si simple, ce serait dommage d'oublier un outil aussi puissant!

++

[Na+]

Salut,

Pour l'instant, il n'a rien trouvé, je repasserai encore plusieurs fois pour voir ce qu'il en ait...

Très utile Wireshark comme logiciel pour Windows...

J'ai regardé de nouveau la liste de processus à l'aide de APM (Advanced Processus Manipulation) de DiamonCS et il n'y a rien de suspect...

Je referai quand même quand j'aurais le temps la procédure préliminaire.

Zeb Protect, est-il efficace dans son utilisation?

@+++

[Cyrrus]

Bonsoir Na+,

Zeb Protect, est-il efficace dans son utilisation?

Oui il l'est. Un tutoriel est dispo ici

Tu as aussi un forum de support pour tes questions => http://forum.zebulon.fr/index.php?showforum=29

Bonne soirée
Cyrrus

[Na+]

Salut,

OK, je l'installerai quand je pourrai...il n'est pas innocent que microsoft ne mette pas de module de fermeture des ports pour nous espionner lui-même!

@+++

[JPL]

On peut le regretter, mais pas de parano : comment veux-tu que MS espionne tous les gens qui ont Windows ? Ce n'est quand même pas la NSA.

[kryok]

On peut le regretter, mais pas de parano : comment veux-tu que MS espionne tous les gens qui ont Windows ? Ce n'est quand même pas la NSA.

'lut
Remarquons ,cependant, qu'il y quelques années deux anciens informaticiens de la NSA avaient révélé la présence d'au moins deux Back-door dans Windows ,installés à la demande de cette meme NSA !!
(je ne retrouve plus le lien ,là ,mais avec Gogol on doit le pouvoir le pointer)
sans verser dans la paranoia à tout crin,soyons vigilant, Win a toujours eu des difficultés à expliquer son comportement suspect vis à vis de l'usager (Cf: relire le CLUF de Win Media player etc.. )ce sont des exemples archiconnus et dénoncé par beaucoups de spécialistes de la sécurité.....
..
@+

[kryok]

2 ou 3 liens (parmi bien d'autres sur le sujet.

http://www.heise.de/tp/r4/artikel/5/5263/1.html

http://news.bbc.co.uk/1/hi/sci/tech/437967.stm


http://www.cnn.com/TECH/computing/99...indows.nsa.02/

@}+

[kryok]

j'oubliai en french :
http://www.legrandsoir.info/article.php3?id_article=393