Salut à tous
Je crois que j'ai choppé sur un de mes pc un trojan ou botnet à priori inconnu.
Il envois sans cesse des requêtes dns abusives sur 4,5 host récurrents . Et utilise l'icmp et l'udp pour se "cacher".
J'ai les captures faites avec wireshark si quelqu'un les veut (les .pcap)
Je suis en train de fouiller le système pour voir quel process envoit ca, mais déja tcpview ne permets d'identifier les process qui font du icmp ou udp , en tt cas je ne vois que le traffic à travers wireshark pour l'instant.
Le lien pour la capture
http://rapidshare.com/files/135772303/traf...zarre.pcap.html
Note: après étude il apparait donc qu'il se connecte sur le port udp 24943 et réponde en icmp , cela vraisemblablement pour une utilisation de type "botnet" , actuelement je ne comprends pas bien ce qu'il y a dans la capture..
A noter aussi que dans la livebox j'ai pu observer que le port 24943 était ouvert en udp et tcp grâce à l'upnp (que je croyais avoir désactivé) , je l'ai aussitôt désactivé, cependant je pense pas que cela soit une fonctionnalité du virus mais plutôt de windows xp (sick) .
Voilà c'est tout sinon, je n'ai pas pu isoler le process qui génère ce traffic sur mon pc , j'ai utilisé gmer et catchme en esperant trouver quelque chose de caché, mais rien .
AVG ne détecte rien non plus , actuelement je fais un scan complet avec antivir mais je doute d'un résultat.
Peut être plus tard je tenterai un scan avec NOD32, mais je pense qu'il serait plus fiable d'arrive à isoler le virus.
SI quelqu'un peut m'aider à comprendre ce qu'il ce passe je lui en serai gré
Merci à tous et à bientôt