Trojan

Bonjour,

j'ai installé Bitdefender Internet Security 2013 et en regardant dans les connexions TCP sortantes (netstat), je vois des connexions HTTP vers les sites suivants:

50.23.91.250-static.reverse.softlayer.com

213-248-111-19.customer.teliacarrier.com

Ces connexions se lancent dès le démarrage de l'ordinateur, sans que je lance un navigateur.

Après des heures de recherches sur le net, il semble que je ne sois pas le seul dans ce cas, mais je n'ai pas trouvé de solution pour identifier l'application ou le service à l'origine de ces connexions intempestives.

Mes questions sont donc les suivantes:

- est-ce qu'il s'agirait d'un trojan?

- pourquoi le firewall ne les stoppe pas alors que j'ai activé le mode le plus élevé??

- comment dois-je faire pour les bloquer (ou enlever le trojan)?

Merci d'avance pour vos réponses.

Trouver d'autres publications étiquetées avec

Réponses

Yann A.

BOnjour w7task,

Le fait qu'il y ait des connexion http au démarrage de l'ordinateur ne signifie pas spécialement qu'elles sont utilisées de manière malveillante. Quels programmes utilisent ces connexions (vous pouvez le voir avec la commande netstat, ou encore avec des programmes comme tcpview, wireshark, etc...) ? Qu'avez-vous qui se lance au démarrage ?

Le parefeu autorisera les connexions des applications signées par défaut.

Cordialement,

Yann

w7task

Bonsoir Yann,

merci pour cette réponse rapide.

Voici le résultat de TCPView :

PROCESS PID PROTOCOL REMOTE ADRESS REMOTE PORT STATE

[system Process] 0 TCP 50.23.91.250-static.reverse.softlayer.com http TIME_WAIT

svchost.exe 1820 TCP 213-248-111-19.customer.teliacarrier.com http ESTABLISHED

Pour illustrer mon propos précédent, voici un post sur lequel ce problème a été soulevé (sans solution): http://www.commentcamarche.net/forum/affic...04-teliacarrier

Par ailleurs, j'ai remarqué la présence du programme downloader.exe qui est lancé par NDSTray.exe qui attend un connexion en UDP, alors qu'il n'y a pas de logiciel de P2P et que je ne joue pas à des jeux en ligne (comme WOW cité dans l'exemple du post).

J'ai également analyser avec HijackThis, mais il n'y a rien qui paraît suspect.

Cordialement.

w7task

Je crois que j'ai oublié de préciser que je suis sous WINDOWS 7.

Par ailleurs, voici les programmes au démarrage:

Activé Clé Programme

Oui HKLM:Run Microsoft Default Manager "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume

Oui HKLM:Run TSleepSrv %ProgramFiles(x86)%\TOSHIBA\TOSHIBA Sleep Utility\TSleepSrv.exe

Oui HKLM:Run TRCMan C:\Program Files (x86)\TOSHIBA\TRCMan\TRCMan.exe

Oui HKLM:Run KeNotify C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe

Oui HKLM:Run HWSetup C:\Program Files\TOSHIBA\Utilities\HWSetup.exe hwSetUP

Oui HKLM:Run SVPWUTIL C:\Program Files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL

Oui HKLM:Run SunJavaUpdateSched "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

Oui HKLM:Run NvCplDaemon RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup

Oui HKLM:Run TPwrMain %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

Oui HKLM:Run HSON %ProgramFiles%\TOSHIBA\TBS\HSON.exe

Oui HKLM:Run SmoothView %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

Oui HKLM:Run 00TCrdMain %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

Oui HKLM:Run SynTPEnh %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

Oui HKLM:Run Teco "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /r

Oui HKLM:Run TosSENotify C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe

Oui HKLM:Run TosWaitSrv %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe

Oui HKLM:Run TosReelTimeMonitor %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe

Oui HKLM:Run TosNC %ProgramFiles%\Toshiba\BulletinBoard\TosNcCore.exe

Oui HKLM:Run TosVolRegulator C:\Program Files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe

Oui HKLM:Run Bdagent C:\Program Files\Bitdefender\Bitdefender 2013\bdagent.exe

Non HKLM:Run AppleSyncNotifier C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe

Non HKLM:Run QuickTime Task "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

Oui Startup Common Microsoft Office.lnk C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE

Voici les services qui se lancent au démarrage en démarrage "Automatique" ou "Automatique différé":

Acquisition d’image Windows (WIA)

Adobe Acrobat Update Service

Alimentation

Appel de procédure distante (RPC)

Audio Windows

Bitdefender Desktop Update Service

BitDefender Desktop Update Service

Bitdefender Virus Shield

Client de stratégie de groupe

Client DHCP

Client DNS

Connaissance des emplacements réseau

Détection matériel noyau

Générateur de points de terminaison du service Audio Windows

Gestionnaire de comptes de sécurité

Gestionnaire de sessions du Gestionnaire de fenêtrage

Infrastructure de gestion Windows

Intel® Management and Security Application Local Management Service

Journal d’événements Windows

Lanceur de processus serveur DCOM

Mappeur de point de terminaison RPC

Modules de génération de clés IKE et AuthIP

Moteur de filtrage de base

Nero BackItUp Scheduler 4.0

Notebook Performance Tuning Service (TEMPRO)

NVIDIA Display Driver Service

NVIDIA Update Service Daemon

Pare-feu Windows

Planificateur de classes multimédias

Planificateur de tâches

Plug-and-Play

SeaPort

Service Bonjour

Service de configuration automatique WLAN

Service de découverte automatique de Proxy Web pour les services HTTP Windows

Service de l’Assistant Compatibilité des programmes

Service de notification d’événements système

Service de profil utilisateur

Service de stratégie de diagnostic

Service Interface du magasin réseau

Services de chiffrement

Spouleur d’impression

Station de travail

Superfetch

Système d’événement COM+

Thèmes

TOSHIBA eco Utility Service

TOSHIBA HDD Protection

TOSHIBA Optical Disc Drive Service

TOSHIBA Power Saver

Windows Driver Foundation - Infrastructure de pilote mode-utilisateur

Centre de sécurité

Intel® Management & Security Application User Notification Service

Microsoft .NET Framework NGEN v4.0.30319_X64

Microsoft .NET Framework NGEN v4.0.30319_X86

Protection logicielle

Service de cache de police Windows

Service de transfert intelligent en arrière-plan

Service Google Update (gupdate)

Service Partage réseau du Lecteur Windows Media

Windows Defender

Windows Update

Cordialement.

Yann A.

Bonjour w7task,

Teliacarrier c'est un peu comme akamai, ce sont des sociétés qui travaillent dans le middleware, qui sont spé######ées dans la mise à disposition de serveurs cache pour les entreprises (éditeurs de logiciels, de jeux, de services web, etc...). La mise en cache de contenu web permet une économie de bande passante Internet, économie particulièrement intéressante pour les sites à très fort trafic (wikipedia).

Donc il est possible qu'une des applications qui se lance au démarrage, comme par exemple Java Update par exemple, passe par ces serveurs pour vérifier la disponibilité de mises à jour. Mais difficile d'en savoir plus, ce type de services est utilisé par pas mal d'éditeurs y compris des fournisseurs d'accès. Bitdefender utilise également, comme beaucoup d'autres entreprises, ce type de service, en l'occurance les services d'Akamai.

Il faudrait analyser plus en détails quel programme ou service est derrière cette connexion, avec des outils comme Process Explorer et Wireshark.

Cordialement,

Yann

w7task

Bonjour Yann ,

j'ai examiné les paquets avec Wireshark, et il semble que ce soit des paquets (plain/txt) contenant une liste de e-malware et de virus. Je suppose donc que c'est sans doute un mise à jour pour Microsoft Windows Defender...

Je n'ai pas réussi à isoler précisément le logiciel ou le service que envoie les requêtes, car je ne vois que les executables :rolleyes: (processus dans procexp.exe), même quand c'est avec la vue des processus sous forme de liste.

Compte tenu de vos réponses et de ce que j'ai pu voir, je pense que je ne vais pas pousser plus loin les recherches.

Merci en tous cas de votre rapidité.

Cordialement.

ps: je ne sais pas si le topic doit être passé en résolu ou s'il faut juste le laisser tel quel.

Yann A.

Bonjour w7task,

Si Windows Defender est activé, il est préférable de le désactiver.

Dans Wireshark, vous avez dans le détail de la requête (hypetext) où on peut voir le fichier récupéré et l'adresse où il est récupéré.

Cordialement,

Yann

Yann A.

Bonjour w7task,

Cette connexion Teliacarrier dépend certainement de votre fournisseur d'accès ou d'une application installée.

En plus des renseignements demandés dans mon message précédent, merci également de me fournier un rapport autorun obtenu en mode normal et un autre obtenu en mode sans échec avec prise en charge réseau (renommez les pour que je puisse les différencier) comme demandé ci-dessous :

a) Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :

http://download.sysinternals.com/files/Autoruns.zip

Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.

c) Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.

d) Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.

e) Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.

Cordialement,

Yann

w7task

Bonsoir Yann,

en pj vous trouverez les deux fichiers (mode normal et mode sans échec avec réseau). Ils sont zippés + extension .txt

Cordialement.

/applications/core/interface/file/attachment.php?id=10751" data-fileid="10751" rel="">w7task_AutoRuns.zip.txt

/applications/core/interface/file/attachment.php?id=10752" data-fileid="10752" rel="">w7task_AutoRuns_sans_echec.zip.txt

w7task_AutoRuns.zip.txt

w7task_AutoRuns_sans_echec.zip.txt

Yann A.

Bonjour w7task,

Merci, nous allons analyser les fichiers.

Cordialement,

Yann

Yann A.

Bonjour w7task,

Nous avons rien vu de particulier dans les rapports qui pourraient être lié à ce trafic.

Pas de trace d'infection ou d'activité malveillante.

Avez-vous essayé de désactiver complètement Windows Defender pour voir si ce trafic persistait ?

Cordialement,

Yann

w7task

Bonjour w7task,

Nous avons rien vu de particulier dans les rapports qui pourraient être lié à ce trafic.

Pas de trace d'infection ou d'activité malveillante.

Avez-vous essayé de désactiver complètement Windows Defender pour voir si ce trafic persistait ?

Cordialement,

Yann

Bonjour Yann,

Merci pour l'analyse. Je n'ai pas désactivé totalement windows defender, mais la réponse me suffit s'il n'y a pas de traces d'activité maleveillante.

Cordialement.