Каскадный · [ Стандартный ] · Линейный+ mspaint.exe, outbound TCP access, а что оно там забыло?

[Snt]

winXP, mspaint.exe, в момент сохранения первого (после запуска программы) рисунка на диск в логах появляются записи вот такого вида:

Count: 1
Module: Firewall
Action: Prevented
Application: mspaint.exe
Access: Outbound TCP access
Object: 3214 -> 207.99.115.249 (207.99.115.249.voxel.net):80 (http)
Time: 05-Sep-2003 09:02:47



_Всегда_ одинаковое число попыток коннекта наружу (12 штук), порядок меняется, IP неизменны, примерный список вот такой:

207.99.115.249 (207.99.115.249.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
213.180.193.120 (corba-http.yandex.ru):80 (http)
62.118.251.41 (v9-u.valuehost.ru):80 (http)
207.99.115.248 (207.99.115.248.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
213.180.193.120 (corba-http.yandex.ru):80 (http)
62.118.251.41 (v9-u.valuehost.ru):80 (http)
207.99.115.248 (207.99.115.248.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)
207.99.115.249 (207.99.115.249.voxel.net):80 (http)

т.е. видим 4 разных хоста в трёх конторах:

207.99.115.248.voxel.net
207.99.115.249.voxel.net
(
NetRange: 207.99.0.0 - 207.99.127.255
OrgName: Net Access Corporation
City: Parsippany
StateProv: NJ
Country: US
)


corba-http.yandex.ru
(
inetnum: 213.180.192.0 - 213.180.193.255
netname: COMPTEK-NET1
descr: CompTek International
descr: 3, Gubkina str., Moscow, 117809
country: RU
)


v9-u.valuehost.ru
(
inetnum: 62.118.251.0 - 62.118.251.255
netname: RU-VALUEHOST-MTU
descr: ValueHost Moscow MTU
country: RU
)


Провёл серию экспериментов, если пытаться записывать пустую картинку (выдаваемую паинтом после старта), результаты те же; пробовал записывать разные картинки, в разных форматах и на разные партишны, примерно в 15% случаев программа не лезет в сеть вообще, иногда меняет порядок серверов в списке, но всегда остаются те же 4 ip адреса, и всегда видно ровно 12 попыток коннекта наружу





Если я чего сильно проспал, и есть идеи по поводу происхождения вышеупомянутого, дайте знать.

p.s. На вирусы, трояны, бэкдоры и прочую нечисть машина проверялась стандартными средствами. Мин нет

p.p.s. Не то, чтоб проблема была критическая, всё равно оно за стенку не вылезет, но ЖУТКО интересно узнать, зачем и кому именно всё это понадобилось

[alossenko]

плохо на трояны проверял

[kapostnieks]

У меня тоже WinXP но в и-нет вилазят "lsass.ехе" и "svchost.ехе".
Нортон Антивирус нечево ненаходит:(
А чем ешо етих чертових Троянов ловит?

Отредактировано: kapostnieks в Пятница, 05 Сентября 2003, 15:05

[alossenko]

слышал что частенько под svchost.ехе маскируют сервер. у меня тоже раньше эти две дуры в инет лезли. закончилось тем что переустановил винду и лезть перестали

[kapostnieks]

Мда:( Формат и переусановка не самое приятноие чего делать дело в том што у меня в сетке гдето ~15 компов c WinXP и в один прекрасний ден у всех етот чёрт стал интересоватса и-нетом:( Днем етим бил парад знаминитова черва последних месецов

Отредактировано: kapostnieks в Пятница, 05 Сентября 2003, 21:15

[Snt]

Другие программы на вид работают нормально, crc32 mspaint.exe совпадает с оригинальным из дистрибутива, запуск того же переименованного mspaint.exe из другой директории даёт те же результаты; Norton Antivirus 2003 pro, DrWeb 4.30a и Agnitum Tauscan 1.6 с последними базами при проверке системы упорно молчат

[Leshii]

просто так информация к сведению: svchost.exe может просить доступ к интернету если какая-то программа (dll) запросит к нему доступ (через svchost)

вот небольшая статья с немного другим вопросом, но с правильным (на мой взгляд) ответом: [>>>]

[Leshii]

2 Snt:
a ты не пробовал заменить mspaint.exe на тот что в дистрибутиве?

[kuchin]

Раз CRC совпадает, то скорее всего не mspaint троянский, а какой-то dll, которым он пользуется...

[Leshii]

sfc/scannow