Trojan, static.reverse.softlayer.com et customer.teliacarrier.com Options

[w7task]

Bonjour,

j'ai installé Bitdefender Internet Security 2013 et en regardant dans les connexions TCP sortantes (netstat), je vois des connexions HTTP vers les sites suivants:

50.23.91.250-static.reverse.softlayer.com
213-248-111-19.customer.teliacarrier.com

Ces connexions se lancent dès le démarrage de l'ordinateur, sans que je lance un navigateur.

Après des heures de recherches sur le net, il semble que je ne sois pas le seul dans ce cas, mais je n'ai pas trouvé de solution pour identifier l'application ou le service à l'origine de ces connexions intempestives.

Mes questions sont donc les suivantes:
- est-ce qu'il s'agirait d'un trojan?
- pourquoi le firewall ne les stoppe pas alors que j'ai activé le mode le plus élevé??
- comment dois-je faire pour les bloquer (ou enlever le trojan)?

Merci d'avance pour vos réponses.

[-Yann-]

BOnjour w7task,

Le fait qu'il y ait des connexion http au démarrage de l'ordinateur ne signifie pas spécialement qu'elles sont utilisées de manière malveillante. Quels programmes utilisent ces connexions (vous pouvez le voir avec la commande netstat, ou encore avec des programmes comme tcpview, wireshark, etc...) ? Qu'avez-vous qui se lance au démarrage ?

Le parefeu autorisera les connexions des applications signées par défaut.

Cordialement,
Yann

[w7task]

Bonsoir Yann,

merci pour cette réponse rapide.

Voici le résultat de TCPView :

PROCESS PID PROTOCOL REMOTE ADRESS REMOTE PORT STATE
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT
[System Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT

svchost.exe 1820 TCP 213-248-111-19.customer.teliacarrier.com http ESTABLISHED

Pour illustrer mon propos précédent, voici un post sur lequel ce problème a été soulevé (sans solution): http://www.commentcamarche.net/forum/affic...04-teliacarrier

Par ailleurs, j'ai remarqué la présence du programme downloader.exe qui est lancé par NDSTray.exe qui attend un connexion en UDP, alors qu'il n'y a pas de logiciel de P2P et que je ne joue pas à des jeux en ligne (comme WOW cité dans l'exemple du post).

J'ai également analyser avec HijackThis, mais il n'y a rien qui paraît suspect.

Cordialement.

[w7task]

Je crois que j'ai oublié de préciser que je suis sous WINDOWS 7.

Par ailleurs, voici les programmes au démarrage:

Activé Clé Programme
Oui HKLM:Run Microsoft Default Manager "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
Oui HKLM:Run TSleepSrv %ProgramFiles(x86)%\TOSHIBA\TOSHIBA Sleep Utility\TSleepSrv.exe
Oui HKLM:Run TRCMan C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe
Oui HKLM:Run KeNotify C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe
Oui HKLM:Run HWSetup C:\Program Files\TOSHIBA\Utilities\HWSetup.exe hwSetUP
Oui HKLM:Run SVPWUTIL C:\Program Files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
Oui HKLM:Run SunJavaUpdateSched "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
Oui HKLM:Run NvCplDaemon RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
Oui HKLM:Run TPwrMain %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
Oui HKLM:Run HSON %ProgramFiles%\TOSHIBA\TBS\HSON.exe
Oui HKLM:Run SmoothView %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
Oui HKLM:Run 00TCrdMain %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
Oui HKLM:Run SynTPEnh %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
Oui HKLM:Run Teco "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /r
Oui HKLM:Run TosSENotify C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe
Oui HKLM:Run TosWaitSrv %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
Oui HKLM:Run TosReelTimeMonitor %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
Oui HKLM:Run TosNC %ProgramFiles%\Toshiba\BulletinBoard\TosNcCore.exe
Oui HKLM:Run TosVolRegulator C:\Program Files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe
Oui HKLM:Run Bdagent C:\Program Files\Bitdefender\Bitdefender 2013\bdagent.exe
Non HKLM:Run AppleSyncNotifier C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
Non HKLM:Run QuickTime Task "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
Oui Startup Common Microsoft Office.lnk C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE

Voici les services qui se lancent au démarrage en démarrage "Automatique" ou "Automatique différé":

Acquisition d’image Windows (WIA)
Adobe Acrobat Update Service
Alimentation
Appel de procédure distante (RPC)
Audio Windows
Bitdefender Desktop Update Service
BitDefender Desktop Update Service
Bitdefender Virus Shield
Client de stratégie de groupe
Client DHCP
Client DNS
Connaissance des emplacements réseau
Détection matériel noyau
Générateur de points de terminaison du service Audio Windows
Gestionnaire de comptes de sécurité
Gestionnaire de sessions du Gestionnaire de fenêtrage
Infrastructure de gestion Windows
Intel® Management and Security Application Local Management Service
Journal d’événements Windows
Lanceur de processus serveur DCOM
Mappeur de point de terminaison RPC
Modules de génération de clés IKE et AuthIP
Moteur de filtrage de base
Nero BackItUp Scheduler 4.0
Notebook Performance Tuning Service (TEMPRO)
NVIDIA Display Driver Service
NVIDIA Update Service Daemon
Pare-feu Windows
Planificateur de classes multimédias
Planificateur de tâches
Plug-and-Play
SeaPort
Service Bonjour
Service de configuration automatique WLAN
Service de découverte automatique de Proxy Web pour les services HTTP Windows
Service de l’Assistant Compatibilité des programmes
Service de notification d’événements système
Service de profil utilisateur
Service de stratégie de diagnostic
Service Interface du magasin réseau
Services de chiffrement
Spouleur d’impression
Station de travail
Superfetch
Système d’événement COM+
Thèmes
TOSHIBA eco Utility Service
TOSHIBA HDD Protection
TOSHIBA Optical Disc Drive Service
TOSHIBA Power Saver
Windows Driver Foundation - Infrastructure de pilote mode-utilisateur
Centre de sécurité
Intel® Management & Security Application User Notification Service
Microsoft .NET Framework NGEN v4.0.30319_X64
Microsoft .NET Framework NGEN v4.0.30319_X86
Protection logicielle
Service de cache de police Windows
Service de transfert intelligent en arrière-plan
Service Google Update (gupdate)
Service Partage réseau du Lecteur Windows Media
Windows Defender
Windows Update

Cordialement.

[-Yann-]

Bonjour w7task,

Teliacarrier c'est un peu comme akamai, ce sont des sociétés qui travaillent dans le middleware, qui sont spé######ées dans la mise à disposition de serveurs cache pour les entreprises (éditeurs de logiciels, de jeux, de services web, etc...). La mise en cache de contenu web permet une économie de bande passante Internet, économie particulièrement intéressante pour les sites à très fort trafic (wikipedia).

Donc il est possible qu'une des applications qui se lance au démarrage, comme par exemple Java Update par exemple, passe par ces serveurs pour vérifier la disponibilité de mises à jour. Mais difficile d'en savoir plus, ce type de services est utilisé par pas mal d'éditeurs y compris des fournisseurs d'accès. Bitdefender utilise également, comme beaucoup d'autres entreprises, ce type de service, en l'occurance les services d'Akamai.

Il faudrait analyser plus en détails quel programme ou service est derrière cette connexion, avec des outils comme Process Explorer et Wireshark.

Cordialement,
Yann

[w7task]

Bonjour Yann (IMG:style_emoticons/default/smile.gif) ,

j'ai examiné les paquets avec Wireshark, et il semble que ce soit des paquets (plain/txt) contenant une liste de e-malware et de virus. Je suppose donc que c'est sans doute un mise à jour pour Microsoft Windows Defender...

Je n'ai pas réussi à isoler précisément le logiciel ou le service que envoie les requêtes, car je ne vois que les executables (IMG:style_emoticons/default/rolleyes.gif) (processus dans procexp.exe), même quand c'est avec la vue des processus sous forme de liste.

Compte tenu de vos réponses et de ce que j'ai pu voir, je pense que je ne vais pas pousser plus loin les recherches.

Merci en tous cas de votre rapidité.

Cordialement.

ps: je ne sais pas si le topic doit être passé en résolu ou s'il faut juste le laisser tel quel.

[-Yann-]

Bonjour w7task,

Si Windows Defender est activé, il est préférable de le désactiver.

Dans Wireshark, vous avez dans le détail de la requête (hypetext) où on peut voir le fichier récupéré et l'adresse où il est récupéré.

Cordialement,
Yann

[-Yann-]

Bonjour w7task,

Cette connexion Teliacarrier dépend certainement de votre fournisseur d'accès ou d'une application installée.

En plus des renseignements demandés dans mon message précédent, merci également de me fournier un rapport autorun obtenu en mode normal et un autre obtenu en mode sans échec avec prise en charge réseau (renommez les pour que je puisse les différencier) comme demandé ci-dessous :

a) Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :
http://download.sysinternals.com/files/Autoruns.zip

(IMG:style_emoticons/default/cool.gif) Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.

c) Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.

d) Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.

e) Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.

Cordialement,
Yann

[w7task]

Bonsoir Yann,

en pj vous trouverez les deux fichiers (mode normal et mode sans échec avec réseau). Ils sont zippés + extension .txt

Cordialement.

Attached File(s)

 w7task_AutoRuns.zip.txt ( 253.56K ) Number of downloads: 2
 w7task_AutoRuns_sans_echec.zip.txt ( 220.07K ) Number of downloads: 1

 

[-Yann-]

Bonjour w7task,

Merci, nous allons analyser les fichiers.

Cordialement,
Yann

[-Yann-]

Bonjour w7task,

Nous avons rien vu de particulier dans les rapports qui pourraient être lié à ce trafic.
Pas de trace d'infection ou d'activité malveillante.

Avez-vous essayé de désactiver complètement Windows Defender pour voir si ce trafic persistait ?

Cordialement,
Yann

[w7task]

Bonjour w7task,

Nous avons rien vu de particulier dans les rapports qui pourraient être lié à ce trafic.
Pas de trace d'infection ou d'activité malveillante.

Avez-vous essayé de désactiver complètement Windows Defender pour voir si ce trafic persistait ?

Cordialement,
Yann

Bonjour Yann,

Merci pour l'analyse. Je n'ai pas désactivé totalement windows defender, mais la réponse me suffit s'il n'y a pas de traces d'activité maleveillante.

Cordialement.