Привет, Гость ( Вход | Регистрация )

 Клуб Янча      Трекер      КВН      ВиКи      Правообладателям   Помощь    Поиск    Участники    Календарь     

[ Каскадный ] · Стандартный · Линейный+

> mspaint.exe, outbound TCP access, а что оно там забыло?

Подписка | На e-mail | На печать
Snt
post Пятница, 05 Сентября 2003, 13:10
Сообщение #1


Новичок
*

Группа: Новички
Сообщений: 5
Регистрация: 15 Окт '06



2 Юзер   Цитировать

winXP, mspaint.exe, в момент сохранения первого (после запуска программы) рисунка на диск в логах появляются записи вот такого вида:

Count: 1
Module: Firewall
Action: Prevented
Application: mspaint.exe
Access: Outbound TCP access
Object: 3214 -> 207.99.115.249 (207.99.115.249.voxel.net):80 (http)
Time: 05-Sep-2003 09:02:47



_Всегда_ одинаковое число попыток коннекта наружу (12 штук), порядок меняется, IP неизменны, примерный список вот такой:

207.99.115.249 (207.99.115.249.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
213.180.193.120 (corba-http.yandex.ru):80 (http)
62.118.251.41 (v9-u.valuehost.ru):80 (http)
207.99.115.248 (207.99.115.248.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
213.180.193.120 (corba-http.yandex.ru):80 (http)
62.118.251.41 (v9-u.valuehost.ru):80 (http)
207.99.115.248 (207.99.115.248.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)

т.е. видим 4 разных хоста в трёх конторах:

207.99.115.248.voxel.net
207.99.115.249.voxel.net
(
NetRange: 207.99.0.0 - 207.99.127.255
OrgName: Net Access Corporation
City: Parsippany
StateProv: NJ
Country: US
)


corba-http.yandex.ru
(
inetnum: 213.180.192.0 - 213.180.193.255
netname: COMPTEK-NET1
descr: CompTek International
descr: 3, Gubkina str., Moscow, 117809
country: RU
)


v9-u.valuehost.ru
(
inetnum: 62.118.251.0 - 62.118.251.255
netname: RU-VALUEHOST-MTU
descr: ValueHost Moscow MTU
country: RU
)


Провёл серию экспериментов, если пытаться записывать пустую картинку (выдаваемую паинтом после старта), результаты те же; пробовал записывать разные картинки, в разных форматах и на разные партишны, примерно в 15% случаев программа не лезет в сеть вообще, иногда меняет порядок серверов в списке, но всегда остаются те же 4 ip адреса, и всегда видно ровно 12 попыток коннекта наружу





Если я чего сильно проспал, и есть идеи по поводу происхождения вышеупомянутого, дайте знать.

p.s. На вирусы, трояны, бэкдоры и прочую нечисть машина проверялась стандартными средствами. Мин нет

p.p.s. Не то, чтоб проблема была критическая, всё равно оно за стенку не вылезет, но ЖУТКО интересно узнать, зачем и кому именно всё это понадобилось
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Posts in this topic
Snt   mspaint.exe, outbound TCP access   Пятница, 05 Сентября 2003, 13:10
alossenko   плохо на трояны проверял :smilenew:   Пятница, 05 Сентября 2003, 14:16
kapostnieks   У меня тоже WinXP но в и-нет вилазят "lsass.е...   Пятница, 05 Сентября 2003, 15:04
alossenko   слышал что частенько под svchost.ехе маскируют сер...   Пятница, 05 Сентября 2003, 19:29
kapostnieks   Мда:( Формат и переусановка не самое приятноие чег...   Пятница, 05 Сентября 2003, 21:12
Snt   Другие программы на вид работают нормально, crc32 ...   Суббота, 06 Сентября 2003, 3:18
Leshii   просто так информация к сведению: svchost.exe може...   Суббота, 06 Сентября 2003, 6:35
Leshii   2 [color=#000060]Snt[/b]: a ты не пробовал заменит...   Суббота, 06 Сентября 2003, 6:39
kuchin   Раз CRC совпадает, то скорее всего не mspaint троя...   Суббота, 06 Сентября 2003, 10:04
Leshii   sfc/scannow   Воскресенье, 07 Сентября 2003, 16:58

« Пред · Общие вопросы · След »
 

Reply to this topicTopic OptionsStart new topic
1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
здесь находятся:
 

Lo-Fi Версия CMSBlog Сейчас: Воскресенье, 04 Мая 2025, 5:23
Powered by Invision Power Board © 2025  IPS, Inc.