Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1350 connectés 

  FORUM HardWare.fr
  Windows & Software

  [Résolu] Virus ? (Nan...)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] Virus ? (Nan...)

n°1321506
Mara's dad
Yes I can !
Posté le 21-10-2003 à 15:10:36  profilanswer
 

Bonjour,
 
J'ai un problème bizarre.
 
Toutes les 15 secondes, mon PC et ceux d'une cinquantaine de mes collègues envoient des paquets UDP vers une adresse en 10.64... (Tous les pcs vers la même) qui n'éxiste pas !
 
Les paquets UDP sont émis a destination du port 1027 !
 
Ils ressemblent à des paquets NTP, les Receive Timestamp, et Transmit Timestamp sont bien renseignés, mais les autres champs sont fantaisistes d'après moi.
 
Exemple de paquet envoyé (Paquet UDP complet).
 

Paquet UDP :
Ent-tête
00 7B     Source port (123)
04 03     Destination port (1027)
00 38     Length (56)
29 5C     Checksum
Data (Donnée NTP) :
DC      Leap Indicator - Status
00      Type
0A FA     Precision
00 00 00 00    Estimated error
00 01 04 00    Estimated Drift Rate
00 00 00 00    Reference Clock Identifier
00 00 00 00 00 00 00 00 Reference Timestamp
00 00 00 00 00 00 00 00 Originate Timestamp
C3 3F A0 39 E7 D7 0A 3D Receive Timestamp (21/10/2003 à 2:08:25 )
C3 3F A0 39 E7 D7 0A 3D Transmit Timestamp


 
Découpage d'après la RFC958 : http://www.faqs.org/rfcs/rfc958.html
 
Le problème à été détecté par le firewall qui ne sait pas ou diriger le paquet, vu que l'adresse n'éxiste pas.
Cà à commencé vendredi avec quelques machines, lundi matin il y en avais 30, et maintenant, plus de 50.
 
Voilà, je cherche sur ma machine ce qui fait çà, mais tout ce que j'ai trouvé, c'est que çà vient de svchost.exe :/
 
Je ne sais pas comment aller plus loin. Par exemple : Comment savoir quel process/appli à demandé çà à svchost ?
 
Si vous avez des idées...
 
Précision, presque toutes les machines qui font çà son sous XP pro, mais il y en a d'autres sous 2k je crois.


Message édité par Mara's dad le 23-10-2003 à 16:49:28

---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
mood
Publicité
Posté le 21-10-2003 à 15:10:36  profilanswer
 

n°1321523
skeye
Posté le 21-10-2003 à 15:22:04  profilanswer
 

Mara's dad a écrit :

Bonjour,
 
J'ai un problème bizarre.
 
Toutes les 15 secondes, mon PC et ceux d'une cinquantaine de mes collègues envoient des paquets UDP vers une adresse en 10.64... (Tous les pcs vers la même) qui n'éxiste pas !
 
Les paquets UDP sont émis a destination du port 1027 !
 
Ils ressemblent à des paquets NTP, les Receive Timestamp, et Transmit Timestamp sont bien renseignés, mais les autres champs sont fantaisistes d'après moi.
 
Exemple de paquet envoyé (Paquet UDP complet).
 

Paquet UDP :
Ent-tête
00 7B     Source port (123)
04 03     Destination port (1027)
00 38     Length (56)
29 5C     Checksum
Data (Donnée NTP) :
DC      Leap Indicator - Status
00      Type
0A FA     Precision
00 00 00 00    Estimated error
00 01 04 00    Estimated Drift Rate
00 00 00 00    Reference Clock Identifier
00 00 00 00 00 00 00 00 Reference Timestamp
00 00 00 00 00 00 00 00 Originate Timestamp
C3 3F A0 39 E7 D7 0A 3D Receive Timestamp (21/10/2003 à 2:08:25 )
C3 3F A0 39 E7 D7 0A 3D Transmit Timestamp


 
Découpage d'après la RFC958 : http://www.faqs.org/rfcs/rfc958.html
 
Le problème à été détecté par le firewall qui ne sait pas ou diriger le paquet, vu que l'adresse n'éxiste pas.
Cà à commencé vendredi avec quelques machines, lundi matin il y en avais 30, et maintenant, plus de 50.
 
Voilà, je cherche sur ma machine ce qui fait çà, mais tout ce que j'ai trouvé, c'est que çà vient de svchost.exe :/
 
Je ne sais pas comment aller plus loin. Par exemple : Comment savoir quel process/appli à demandé çà à svchost ?
 
Si vous avez des idées...
 
Précision, presque toutes les machines qui font çà son sous XP pro, mais il y en a d'autres sous 2k je crois.


Essaie de mater les services actifs sur tes machines, et comparant si possible avec ceux d'une machine non infectée.
Vérifie aussi les progs lancés au démarrage...on sait jamais.

n°1321535
the real m​oins moins
Posté le 21-10-2003 à 15:33:02  profilanswer
 

[:blueflag] :/
 


Message édité par the real moins moins le 21-10-2003 à 15:33:12

---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°1321544
Mara's dad
Yes I can !
Posté le 21-10-2003 à 15:40:41  profilanswer
 

Heu, déjà, fait...
J'ai désactivé un max de trucs et y'a rien de suspect.
Je continue à tout vérifier


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1321624
Mara's dad
Yes I can !
Posté le 21-10-2003 à 16:48:00  profilanswer
 

Bon, en désactivant le service "Horloge Windows" qui :

Citation :

Conserve la synchronisation de la date et de l'heure sur tous les clients et serveurs sur le réseau. Si ce service est arrêté, la synchronisation de la date et de l'heure sera indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.


 
Ca le fait plus !
 
Reste à savoir si c'était un comportement normal (j'ai pas l'impression :/) ou si j'ai juste stoppé un service (qui ne me sert pas à grand chose) utilisé par un bout de code malicieux qui traine :??:
 
J'ai l'impression de ne rien avoir réglé du tout, un peu comme si j'avais débranché mon cable réseau...


Message édité par Mara's dad le 21-10-2003 à 16:48:20

---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1321650
the real m​oins moins
Posté le 21-10-2003 à 17:06:50  profilanswer
 

ce qui est louche c'est que tout à coup le nombre de machines l'utilisant ait grandi :D
(à moins que la config firewall ait changé sans que tu le saches :o)


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°1321668
Mara's dad
Yes I can !
Posté le 21-10-2003 à 17:36:28  profilanswer
 

D'après les 'gens' du réseaux, c'est depuis les derniers windows update que çà le fait. Ce qui explique la progression en nombre de machine.
Pour voir si c'est bien çà, sur mon PC, j'ai désinstallé les MAJ depuis fin septembre, et çà change rien...
De plus en plus nébuleux ce truc !
Le firewall se contente de dire que la cible n'existe pas c'est tout. Une enquête est en cours pour savoir si elle éxistait avant, mais çà n'à pas l'air d'être le cas. En plus je vois pas pourquoi ma machine utiliserait se serveur fantome, vu que je l'ai paramétré manuellement pour un serveur de temps qui lui existe bien...


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1321670
the real m​oins moins
Posté le 21-10-2003 à 17:39:00  profilanswer
 

oui mais bon, en meme temps, je suis pas sur qu'on puisse se fier à un désinstall de maj de windows update quoi ...


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°1321673
Mara's dad
Yes I can !
Posté le 21-10-2003 à 17:42:01  profilanswer
 

C'est aussi ce que je me suis dis !
Donc, comme d'hab, fuite en avant...
J'installe toutes les autres MAJ que me propose Windows-Update :D
On verra bien, ce n'est qu'un PC de ma boîte.


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1323532
Mara's dad
Yes I can !
Posté le 23-10-2003 à 12:10:09  profilanswer
 

J'ai compris !
 
En fait, y'a une machine sur notre VLAN qui envoie des paquets UDP a destination de 255.255.255.255:123 avec une adresse IP bidon et le port 1027.
 
Toutes les machines XP/2K qui ont le service "Horloge windows" activé répondent gentiement.
 
Je m'en suis rendu compte avec un autre sniffer que celui que j'utilisais au début qui ne me montrait pas tout !
 
Bon l'adresse IP est bidon, mais j'ai son adresse MAC :D
J'espère qu'elle est pas bidon aussi :/
 
La suite au prochain numéro...


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
mood
Publicité
Posté le 23-10-2003 à 12:10:09  profilanswer
 

n°1323538
the real m​oins moins
Posté le 23-10-2003 à 12:18:51  profilanswer
 

y'a pas d'admin reseau dans ta boite ou bien c'est toi :??:


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°1323558
Mara's dad
Yes I can !
Posté le 23-10-2003 à 12:31:27  profilanswer
 

SISI, y'en a un...
Mais j'aime bien la chasse aux truc zarb :D
 
Celà dit, y'a pas de raison que l'admin réseau passe sont temps à regader tous les paquets broadcast. Tant qu'ils sont valides, ben y'a pas d'alerte.


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1323572
the real m​oins moins
Posté le 23-10-2003 à 12:41:18  profilanswer
 

ben oui mais en l'occurence y'a un truc louche non :D


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°1323575
Charpentie​r
Posté le 23-10-2003 à 12:42:35  profilanswer
 

Citation :

Veuillez laisser l'ETAT dans les toilettes où vous l'avez trouvé !

:lol:  :D  
 
 
Flag, ça m'interesse.

n°1323599
Mara's dad
Yes I can !
Posté le 23-10-2003 à 12:59:56  profilanswer
 

the real moins moins a écrit :

ben oui mais en l'occurence y'a un truc louche non :D


Oui, et l'admin réseau l'a bien vu.


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1323602
Mara's dad
Yes I can !
Posté le 23-10-2003 à 13:00:54  profilanswer
 

Charpentier a écrit :

Citation :

Veuillez laisser l'ETAT dans les toilettes où vous l'avez trouvé !

:lol:  :D  


C'est pas de moi.
C'est un tag que j'ai vu sur un bureau de Poste :D


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1323883
Mara's dad
Yes I can !
Posté le 23-10-2003 à 16:48:51  profilanswer
 

Suite et fin :
 
On a trouvé le coupable !
 
Une nouvelle équipe de dev est arrivée et à installé son matos.
 
Dans le tas, y'a une imprimante avec un sous-réseaux à la con. La pauvre qui n'est pas utilisée pour le moment (de toute façon personne pouvait la voir...), passait son temps à demander l'heure à tout le monde (en broadcast donc).
 
 :sweat:  :hello:  :sleep:


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°1323896
the real m​oins moins
Posté le 23-10-2003 à 16:54:36  profilanswer
 

[:rofl2]


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°1323906
skeye
Posté le 23-10-2003 à 17:01:15  profilanswer
 

[:rofl]
De l'utilité de connaitre l'heure pour une imprimante réseau...:whistle:

n°1323907
iznogoud_2​3
chaud comme la braise
Posté le 23-10-2003 à 17:01:23  profilanswer
 

c'est con une imprimante quand ca a rien a foutre quand meme :lol:


---------------
C'est parce que la vitesse de la lumière est supérieure à celle du son, que tant de gens paraissent brillants avant d'avoir l'air con !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  [Résolu] Virus ? (Nan...)

 

Sujets relatifs
[??] Opera 7.11 et sites "sécurisés" [Résolu][RESOLU] mettre a jour Norton AV corporate edition
VIRUS SCHVOST.EXEProbleme excel 97 plein ecran ( resolu )
[résolu] Mon impritante n'imprime pluspartage du net en rezo local (résolu) merci
Freebox + ethernet = rien (boulet inside ???) --- > RESOLUvirus de l'aide svp
Infection Virus Pe_Valla.A / Win32.valla besoin d'aide[Win XP] Comment booter le system a partir d'un disquette ? [RESOLU]
Plus de sujets relatifs à : [Résolu] Virus ? (Nan...)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR