Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Nouveau Trojan/Botnet ???

alxs

Par alxs
dans Sécurisation, prévention

 Partager

Messages recommandés

alxs Junior Member

alxs

Posté(e)
Posté(e)

Salut à tous

Je crois que j'ai choppé sur un de mes pc un trojan ou botnet à priori inconnu.

Il envois sans cesse des requêtes dns abusives sur 4,5 host récurrents . Et utilise l'icmp et l'udp pour se "cacher".

J'ai les captures faites avec wireshark si quelqu'un les veut (les .pcap)

Je suis en train de fouiller le système pour voir quel process envoit ca, mais déja tcpview ne permets d'identifier les process qui font du icmp ou udp , en tt cas je ne vois que le traffic à travers wireshark pour l'instant.

 

Le lien pour la capture

http://rapidshare.com/files/135772303/traf...zarre.pcap.html

 

 

Note: après étude il apparait donc qu'il se connecte sur le port udp 24943 et réponde en icmp , cela vraisemblablement pour une utilisation de type "botnet" , actuelement je ne comprends pas bien ce qu'il y a dans la capture..

A noter aussi que dans la livebox j'ai pu observer que le port 24943 était ouvert en udp et tcp grâce à l'upnp (que je croyais avoir désactivé) , je l'ai aussitôt désactivé, cependant je pense pas que cela soit une fonctionnalité du virus mais plutôt de windows xp (sick) .

Voilà c'est tout sinon, je n'ai pas pu isoler le process qui génère ce traffic sur mon pc , j'ai utilisé gmer et catchme en esperant trouver quelque chose de caché, mais rien .

AVG ne détecte rien non plus , actuelement je fais un scan complet avec antivir mais je doute d'un résultat.

Peut être plus tard je tenterai un scan avec NOD32, mais je pense qu'il serait plus fiable d'arrive à isoler le virus.

 

SI quelqu'un peut m'aider à comprendre ce qu'il ce passe je lui en serai gré

 

Merci à tous et à bientôt

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

ton PC reçoit des requêtes entrantes sur UDP 24943 provenant de divers hôtes en effet (comment ça passe le nat de la livebox ?) et ton système répond par un ICMP type 3 code 3 car ton PC n'a pas ce port UDP en écoute: c'est le comportement normal d'un échange par UDP

Le paquet ICMP reprend l'entête et le datagramme du paquet UDP source.

 

je passe le pcap avec snort mais sans grande conviction...

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Peut -être un log Hijackthis pour le vérifier ?

 

*

Téléchargez Hijackthis de TrendMicro.

* Décompressez le dans un dossier à la racine du disque dur

Mais jamais dans un dossier temporaire

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Copier-coller le rapport dans un nouveau message ici

alxs Junior Member

alxs

Posté(e)
  • Auteur
Posté(e)
ton PC reçoit des requêtes entrantes sur UDP 24943 provenant de divers hôtes en effet (comment ça passe le nat de la livebox ?) et ton système répond par un ICMP type 3 code 3 car ton PC n'a pas ce port UDP en écoute: c'est le comportement normal d'un échange par UDP

Le paquet ICMP reprend l'entête et le datagramme du paquet UDP source.

 

je passe le pcap avec snort mais sans grande conviction...

 

Peut être que si j'avais passé le pcap avec snort plus tôt, j'aurais pu me rendre compte qu'il s'agit de transactions bittorrent. En effet j'ai compris le sens de la capture que tout à l'heure... Mais je ne comprennais pas comme toi pourquoi ca passe le nat de la livebox, d'où ma déduction attive d'un trojan.

En fait ca passe le nat parce que je ne suis pas chez moi, mais chez mes parents, et qu'eux ont laissés la livebox avec le upnp d'activé. Ce qui semblerait laisse windows ouvrir n'importe quel port sur la livebox dès qu'une application lui demande....

 

VOilà voilà, merci tout de même de m'avoir aidé ( en esperant pouvoir être utile à ce forum bientôt)

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)
il s'agit de transactions bittorrent

 

et oui ... +1 pour les dangers de l'UPNP

 

//edit: au sujet des échanges: protocoles DHT bittorent

 

capture UDP

d1:ad2:id20:K.;hs....^....H_..j.6:target20:.U....]j...uh.......e1:q9:find_node1:t8:.}-O....1:y1:qe

 

find_node

 

Find node is used to find the contact information for a node given its ID. "q" == "find_node" A find_node query has two arguments, "id" containing the node ID of the querying node, and "target" containing the ID of the node sought by the queryer. When a node receives a find_node query, it should respond with a key "nodes" and value of a string containing the compact node info for the target node or the K (8 ) closest good nodes in its own routing table.

 

arguments: {"id" : "<querying nodes id>", "target" : "<id of target node>"}

 

response: {"id" : "<queried nodes id>", "nodes" : "<compact node info>"}

 

Example Packets

 

find_node Query = {"t":"aa", "y":"q", "q":"find_node", "a": {"id":"abcdefghij0123456789", "target":"mnopqrstuvwxyz123456"}}

bencoded = d1:ad2:id20:abcdefghij01234567896:target20:mnopqrstuvwxyz123456e1:q9:find_node1:

t2:aa1:y1:qe

 

Response = {"t":"aa", "y":"r", "r": {"id":"0123456789abcdefghij", "nodes": "def456..."}}

bencoded = d1:rd2:id20:0123456789abcdefghij5:nodes9:def456...e1:t2:aa1:y1:re

http://www.bittorrent.com/trackerless.html

 

à mon avis, le port UDP 24943 doit être rerouté vers la machine en dur dans la livebox puisque aucune application n'est en écoute (et donc susceptible d'avoir utilisé l'UPnP)

alxs Junior Member

alxs

Posté(e)
  • Auteur
Posté(e)
et oui ... +1 pour les dangers de l'UPNP

 

//edit: au sujet des échanges: protocoles DHT bittorent

 

capture UDP

d1:ad2:id20:K.;hs....^....H_..j.6:target20:.U....]j...uh.......e1:q9:find_node1:t8:.}-O....1:y1:qe

 

 

http://www.bittorrent.com/trackerless.html

 

à mon avis, le port UDP 24943 doit être rerouté vers la machine en dur dans la livebox puisque aucune application n'est en écoute (et donc susceptible d'avoir utilisé l'UPnP)

C'est là que ca devient drôle, j'ai désactivé l'upnp sur la livebox donc plus de soucis, mais la table de routage upnp reste.. J'ai beau eu cliquer sur "Effacer les règles" , cela n'as rien fait. Peut être qu'un reset de la livebox serait efficace , mais je ne en ai pas la nécessité.

alxs Junior Member

alxs

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonjour, un tout petit programme pour désactiver l'uPNP, côté windows :

http://www.grc.com/UnPnP/UnPnP.htm

 

Mais en fait le service upnp était déja coupé sous windows xp. UpnP utiliserait le http over udp pour fonctionner (cela une fois la partie découverte du réseau ssdp faites) . Peut être qu'un client bittorrent comme bitcomet fait tout seul du upnp...

Modifié par alxs

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...