Witam!
Obserwowałem na swoim komputerze akcje z dziwnymi połączeniami. Pochodziły
one z katalogu Temp. Albo coś chciało się aktualizować albo dzieje się coś
podejrzanego. W każdym razie w tym katalogu była sobie .dll-ka, która za
pomocą Rundll32.exe prosi o połączenie z dziwny adresem.
Oto zawartość okienka ostrzeżenia Kerio:
TCP Connection to customer-reverse-entry.69.59.165.232 [69.59.165.232:80]
was blocked by rule 'rundll32.exe - Blokada'
rundll32 C:\DOCUME~1\Marek\USTAWI~1\Temp\wmyisnt.dll,Start 1
TCP 1033 - 1075 -- 15
Teraz pytanie, co oznacza ten fikuśny adres DNS:
customer-reverse-entry.69.59.165.232, zamiast coś ludzkiego.
Sprawdziłem na przez WhoIs ten adres IP i uzyskałem taką odpowiedź:
ServePath, LLC, US, San Francisco
http://www.servepath.com/index.htm
Dlaczego mój komputer chce się łączyć z San Francisko z firmą, która
przedstawia się jako "the world's top Internet hub"
Wygląda to mi na jakąś próbę aktualizacji, niestety wykonana przy użyciu
RunDll32. Czyli takie procesu wytrychu, co nie sprzyja powstawianiu reguł w
firewallu.
-- Pozdrawiam, Marek Janaszewski [ j_marek(at)gazeta.pl ]Received on Fri Aug 13 00:05:17 2004
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 13 Aug 2004 - 00:42:02 MET DST