La computadora envía una solicitud de eco ICMP sin parar a una IP

9

Al colgar en el Monitor de red de Microsoft, observé que mi computadora está enviando una solicitud de eco ICMP a una dirección IP arbitraria 202.39.253.11 . Busqué al propietario de esta IP y descubrí que es propiedad de un negocio de comunicación chino o taiwanés llamado HINET. Parece que tienen un sitio web en esta dirección, aunque las respuestas parecen venir 202.39.253.12 .

Me preguntaba, ¿corro el riesgo de abrirme a un túnel ICMP desde un atacante remoto?

Miré los paquetes y todos tienen el mismo aspecto:

08 00 6E 89 00 01 00 14 49 43 4D 50 20 65 63 68 6F     ..n....ICMP echo

08 00 6E 88 00 01 00 15 49 43 4D 50 20 65 63 68 6F     ..n....ICMP echo

Las respuestas son todas iguales, excepto por 9 bytes de datos 00 al final de la carga útil de respuesta. Sé que al ver esto no se intercambian datos en este momento, pero ¿es posible que haya un software "espía" instalado en mi computadora y pueda comenzar a enviar datos en algún momento?

EDITAR: parecen poseer 202.39.128.0/17

EDIT 2: dado que todavía no puedo saber qué proceso está generando todas estas solicitudes ICMP, configuraré un servidor proxy utilizando Winpcap para simular la respuesta del servidor y averiguar qué proceso está reaccionando a "comandos" aleatorios del servidor . Al establecer rutas personalizadas, debería poder transferir la solicitud de eco a mi servidor. ¿Alguna idea sobre cómo detectar un comportamiento extraño de un proceso que recibe comandos ocultos en un túnel ICMP? Pensé que podría intentar usar Sysinternals Process Monitor y buscar el acceso fallido al registro u otros tipos de errores.

EDIT 3: ¡Finalmente lo conseguí! Por alguna razón, tuve la idea de usar una solución de "fuerza bruta" para encontrar el proceso que causa el problema. Al observar cada secuencia de bytes en mi disco duro, puedo encontrar los datos en bruto dentro del archivo ejecutable de un programa. Así que ejecuté el primer programa que encontré, "SearchMyFiles" ( enlace ) y comencé una consulta para ICMP echo . Adivina lo que encontré, parte de un montón de la historia de Google Chrome ... Un archivo DLL que contiene ICMP echo y www.hinet.net . Aquí hay una vista previa de los datos que encontré:

49 43 4D 50 20 65 63 68 6F at offset 0001E4BC which correspond to ICMP echo

and

77 77 77 2E 68 69 6E 65 74 2E 6E 65 74 at offset 0001E233 (www.hinet.net)

La dll se llama gep.dll y se encuentra aquí C:\Program Files (x86)\ASUS\AI Suite II\Network iControl\NetSvcHelp Así que parece ser que ASUS envía todas estas solicitudes ICMP. Tengo una placa base de ASUS e instalé AI Suite desde su sitio web.

Todavía no sé si esta conexión es legítima o segura, y no puedo encontrar información en Internet sobre esta comunicación extraña entre un proceso asus y un servidor en Taiwán

    
pregunta Alex Rose 04.12.2013 - 17:55
fuente

4 respuestas

6

Tuve el mismo problema, pings constantes al 202.39.253.11.

He eliminado ASUS Ai SUITE II y he ejecutado el limpiador de desinstalación y los pings se han detenido

El limpiador estaba en

enlace

    
respondido por el steve 23.12.2013 - 14:27
fuente
3

Con respecto a ICMP periódico (intervalo de 1 segundo) de Ai Suite II, simplemente deshabilite la opción "Network iControl" para detener los pings. No es necesario eliminar completamente este servicio de ASUS.

    
respondido por el JJK 28.10.2014 - 16:40
fuente
2

ya que todos son de eco ... ¡no creo que sean para hacer túneles PERO!

usted podría ser hackeado. Algunos programas maliciosos están enviando paquetes tipo ping a direcciones IP extrañas o sitios web. estos son principalmente los dispositivos maliciosos de la red bot ... Tu PC dice "YO SOY AQUÍ ... YO SOY AQUÍ" enviando esos mensajes de eco y, en algún momento, cuando haya un ataque, el hacker será el propietario del servidor y enviará los comandos a quien envíe paquetes de eco u otros paquetes predefinidos.

zBot y otros botnets utilizaban algoritmos como este ...

o, por supuesto, puede ser un servicio o lo que sea ... pero es bueno estar seguro y revisar el peor de los casos primero.

    
respondido por el cengizUzun 17.12.2013 - 09:10
fuente
0

Yo también he observado un nivel sospechoso de tráfico ICMP a la dirección IPv4 202.39.253.11 durante un análisis de rutina de Wireshark.

Por un whois:

$ whois 202.39.253.11

   Netname: HINET-NET
   Netblock: 202.39.253.0/24

Mi solución fue desinstalar una aplicación de Windows conocida como "Network Genie".

Esta aplicación se puso a disposición como descarga desde el sitio web de la placa madre MSI y (supuestamente) ayuda en las funciones relacionadas con la red (controlador) para el chip Realtek LAN incorporado.

Tras algunas búsquedas rápidas en Google (palabras clave: "red", "genio", "hinet"), parece que Network Genie comparte el espacio de direcciones con HINET-NET.

Una vez que desinstalé "Network Genie", el tráfico ICMP se detuvo.

Si esto no resuelve su problema, aún recomendaría usar el mismo enfoque básico que usé: eliminar el software uno por uno hasta que se identifique al delincuente.

Si eso no funciona, puede ser un indicio de algún tipo de compromiso, momento en el que se debe realizar una copia de seguridad y reformateo del sistema operativo con toda la rapidez y la urgencia.

    
respondido por el xar 05.12.2015 - 11:40
fuente

Lea otras preguntas en las etiquetas