"microsoft-ds SYN_SENT" qu'est ce que c ?

[iph]

Salut tlm !

lors d'un netstat -a il m'apparait ce qu'il y a ci dessous. Après un bref allé sur le net, il ne semble pas avoir de réelles explcations si se n'est un DOS, ni de solution.

Auriez vous une réponse pour contrer ce pb (si toute fois s'en est un).

Merci.

 

PS : y'a aussi un fichier nommé wuampd qui est dans le run de ma base des registre, je ne sais pas q'il y a un lien. Là de même il n'y a pas vraiment de réponses...

 

TCP CLARA:3277 128.246.69.141:microsoft-ds SYN_SENT

TCP CLARA:3278 128.36.234.158:microsoft-ds SYN_SENT

TCP CLARA:3279 128.216.234.10:microsoft-ds SYN_SENT

TCP CLARA:3280 128.22.24.113:microsoft-ds SYN_SENT

TCP CLARA:3281 128.199.106.131:microsoft-ds SYN_SENT

TCP CLARA:3282 128.255.62.89:microsoft-ds SYN_SENT

TCP CLARA:3283 128.182.194.134:microsoft-ds SYN_SENT

TCP CLARA:3284 128.26.21.224:microsoft-ds SYN_SENT

TCP CLARA:3285 128.219.44.193:microsoft-ds SYN_SENT

TCP CLARA:3286 128.179.206.76:microsoft-ds SYN_SENT

TCP CLARA:3287 d48-178.dyn.cs.rpi.edu:microsoft-ds SYN_SENT

TCP CLARA:3288 128.168.37.141:microsoft-ds SYN_SENT

TCP CLARA:3289 128.127.15.143:microsoft-ds SYN_SENT

TCP CLARA:3290 128.86.63.237:microsoft-ds SYN_SENT

TCP CLARA:3291 128.83.55.9:microsoft-ds SYN_SENT

TCP CLARA:3292 128.170.140.123:microsoft-ds SYN_SENT

TCP CLARA:3293 128.48.247.213:microsoft-ds SYN_SENT

TCP CLARA:3294 128.129.49.31:microsoft-ds SYN_SENT

TCP CLARA:3295 128.96.31.115:microsoft-ds SYN_SENT

TCP CLARA:3296 128.166.149.241:microsoft-ds SYN_SENT

TCP CLARA:3297 128.41.212.55:microsoft-ds SYN_SENT

TCP CLARA:3298 128.12.200.21:microsoft-ds SYN_SENT

TCP CLARA:3299 128.96.22.163:microsoft-ds SYN_SENT

TCP CLARA:3300 128.87.104.40:microsoft-ds SYN_SENT

TCP CLARA:3301 ksglb8.harvard.edu:microsoft-ds SYN_SENT

TCP CLARA:3302 128.14.145.124:microsoft-ds SYN_SENT

TCP CLARA:3303 128.96.49.181:microsoft-ds SYN_SENT

TCP CLARA:3304 128.13.231.182:microsoft-ds SYN_SENT

TCP CLARA:3305 128.127.163.29:microsoft-ds SYN_SENT

TCP CLARA:3306 128.20.18.203:microsoft-ds SYN_SENT

TCP CLARA:3307 128.190.145.123:microsoft-ds SYN_SENT

TCP CLARA:3308 128.130.206.181:microsoft-ds SYN_SENT

TCP CLARA:3309 128.99.236.112:microsoft-ds SYN_SENT

TCP CLARA:3310 128.159.114.187:microsoft-ds SYN_SENT

TCP CLARA:3311 128.20.9.186:microsoft-ds SYN_SENT

TCP CLARA:3312 128.255.69.245:microsoft-ds SYN_SENT

TCP CLARA:3313 mec-cscs-18e.Princeton.EDU:microsoft-ds SYN_SEN

T

TCP CLARA:3314 128.228.244.59:microsoft-ds SYN_SENT

TCP CLARA:3315 x101-241-83.dhcp.umn.edu:microsoft-ds SYN_SENT

TCP CLARA:3316 128.175.58.90:microsoft-ds SYN_SENT

TCP CLARA:3317 illegally-used-at.fsu:microsoft-ds SYN_SENT

TCP CLARA:3318 128.191.210.98:microsoft-ds SYN_SENT

TCP CLARA:3319 kitt29-156-dhcp.resnet.colorado.edu:microsoft-ds

SYN_SENT

TCP CLARA:3320 secuser.model-fx.com:http ESTABLISHED

TCP CLARA:3321 fl01.ct2.comclick.com:http ESTABLISHED

TCP CLARA:3322 fl01.ct2.comclick.com:http ESTABLISHED

TCP CLARA:3323 128.67.173.108:microsoft-ds SYN_SENT

TCP CLARA:3324 janetspc.larc.nasa.gov:microsoft-ds SYN_SENT

TCP CLARA:3325 128.247.23.52:microsoft-ds SYN_SENT

TCP CLARA:3326 128.221.29.206:microsoft-ds SYN_SENT

TCP CLARA:3327 128.198.59.160:microsoft-ds SYN_SENT

TCP CLARA:3328 www.emporiumnaturals.com:microsoft-ds SYN_SENT

TCP CLARA:3329 128.184.29.187:microsoft-ds SYN_SENT

TCP CLARA:3330 128.39.45.99:microsoft-ds SYN_SENT

TCP CLARA:3331 statman2.beav.orst.edu:microsoft-ds SYN_SENT

TCP CLARA:3332 vikatmaa.cs.helsinki.fi:microsoft-ds SYN_SENT

TCP CLARA:3333 128.76.56.210:microsoft-ds SYN_SENT

TCP CLARA:3334 128.199.135.73:microsoft-ds SYN_SENT

TCP CLARA:3335 128.199.135.73:microsoft-ds SYN_SENT

TCP CLARA:3336 selobrlaptop.lib.ohio-state.edu:microsoft-ds SY

N_SENT

TCP CLARA:3337 128.158.181.101:microsoft-ds SYN_SENT

TCP CLARA:3338 128.28.188.161:microsoft-ds SYN_SENT

TCP CLARA:3339 128.36.141.42:microsoft-ds SYN_SENT

TCP CLARA:3340 128.9.57.41:microsoft-ds SYN_SENT

TCP CLARA:3341 cbilws48.cbil.vcu.edu:microsoft-ds SYN_SENT

TCP CLARA:3342 128.231.120.13:microsoft-ds SYN_SENT

TCP CLARA:3343 128.84.216.207:microsoft-ds SYN_SENT

TCP CLARA:3344 128.68.253.189:microsoft-ds SYN_SENT

TCP CLARA:3345 128.157.238.87:microsoft-ds SYN_SENT

TCP CLARA:3346 128.65.48.194:microsoft-ds SYN_SENT

TCP CLARA:3347 rescomp-04-72270.Stanford.EDU:microsoft-ds SYN_

SENT

TCP CLARA:3348 128.203.216.43:microsoft-ds SYN_SENT

[Greywolf]

caractéristique du ver Sasser qui essaie d'infecter les PC du réseau mondial par une connexion TCP sur le port 445 (microsoft-ds)

 

Sont-ce des connexions entrantes? ou sortantes? (auquel cas tu es infecté par le ver et participe activement à sa propagation)

[iph]

Et bien il semblerai au vu du nb d'octets envoyés que ça sorte, mais je n'ai pas de tools style ethereal pour confirmer :

 

388 wuampd -> 4353 TCP C:\WINDOWS\System32\wuampd.exe

388 wuampd -> 4354 TCP C:\WINDOWS\System32\wuampd.exe

388 wuampd -> 4355 TCP C:\WINDOWS\System32\wuampd.exe

[...]

388 wuampd -> 4399 TCP C:\WINDOWS\System32\wuampd.exe

388 wuampd -> 4400 TCP C:\WINDOWS\System32\wuampd.exe

388 wuampd -> 4401 TCP C:\WINDOWS\System32\wuampd.exe

388 wuampd -> 4402 TCP C:\WINDOWS\System32\wuampd.exe

388 wuampd -> 4403 TCP C:\WINDOWS\System32\wuampd.exe

388 wuampd -> 4404 TCP C:\WINDOWS\System32\wuampd.exe

 

(log fourni par Fport)