Windows: programa / servicio desconocido, etc. envía una solicitud HTTP para descargar un archivo; ¿Cómo puedo encontrar el origen de esa petición?

Navega tus respuestas
14

El firewall de mi empresa ha detectado y bloqueado una solicitud HTTP repetitiva (cada 15 minutos) desde una PC, que intenta iniciar una descarga de un archivo llamado ..._ chrome_installer.exe (más o menos) del host: 

http://r9---sn-4g57kner.gvt1.com

Chrome no está instalado en esa PC. Tampoco hay ningún proceso sospechoso, servicio o tarea lanzada. Revisé las tareas programadas, el registro (Ejecutar, Ejecutar, etc.), msconfig y los scripts de arranque: nada sospechoso. Con Microsoft Message Analyzer descubrí el PID y el nombre del proceso, que son los mismos. El PID lleva a svchost.exe (netsvcs). Así que mi pregunta es, ¿cómo seguir detrás de svchost o cómo puedo encontrar el origen de esa solicitud? (Si eso es posible). Yo uso Windows 7.

    
pregunta JohannSchwarz 15.07.2015 - 08:58
fuente

3 respuestas

8

He encontrado el origen. Ambas respuestas me han dado las indicaciones correctas para continuar. Con ProcessExplorer elegí el proceso de svchost correcto (el mismo PID) y abrí la pestaña TCP / IP, con wireshark esperé la solicitud, ya que se envió, la pestaña TCP / IP de ProcessExplorer me mostró el servicio que estaba tratando de establecer una conexión: Servicio BITS (Servicio de Transferencia Inteligente de Fondo). Abrí cmd y con 

BITSAdmin /List [/allusers] [/verbose]

Enumeré todos los trabajos. Y ahí tenemos el quid de la cuestión. Todo lleno con trabajos de google-update. Los archivos enumerados para cada trabajo apuntaban a un google-update.exe no existente. Así que creo que las primeras respuestas podrían ser correctas, que esto no es un virus. No sé por qué había 9 trabajos de actualización de Google y nada más. He borrado todo. Desde entonces, las solicitudes se han ido.

    
respondido por el JohannSchwarz 21.07.2015 - 09:08
fuente
8

Parece que "gvt1.com" es propiedad de Google (whois muestra :) 

Registrant Name: DNS Admin
Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA
Registrant Postal Code: 94043
Registrant Country: US
Registrant Phone: +1.6506234000
Registrant Phone Ext: 
Registrant Fax: +1.6506188571
Registrant Fax Ext: 
Registrant Email: [email protected]

Y verificando la ubicación de ese dominio específico (r9---sn-4g57kner.gvt1.com) apunta a cerca de San Francisco (que coincide).

Además, muestra una relación entre "gvt1.com" y "googlevideo.com" (ejemplo: enlace ) y cromo, por ejemplo: enlace

Verificación del sitio de Google: enlace

Estoy casi seguro de que no es un virus sino algo relacionado con un servicio de Google. (busque "gvt1.com" en google, encontrará muchos más enlaces)

    
respondido por el lepe 17.07.2015 - 03:25
fuente
2

Vaya a sysinternals e instale una herramienta de rastreo . Graba 20m de actividad y localiza esa solicitud. Luego vuelva al orign de esa solicitud.

    
respondido por el Nils 17.07.2015 - 07:29
fuente

Lea otras preguntas en las etiquetas

¿La forma correcta de obtener un número de 0-9 de un byte aleatorio? ¿Hay un "traductor" de la suite de cifrado?