Al colgar en el Monitor de red de Microsoft, observé que mi computadora está enviando una solicitud de eco ICMP a una dirección IP arbitraria 202.39.253.11
.
Busqué al propietario de esta IP y descubrí que es propiedad de un negocio de comunicación chino o taiwanés llamado HINET. Parece que tienen un sitio web en esta dirección, aunque las respuestas parecen venir 202.39.253.12
.
Me preguntaba, ¿corro el riesgo de abrirme a un túnel ICMP desde un atacante remoto?
Miré los paquetes y todos tienen el mismo aspecto:
08 00 6E 89 00 01 00 14 49 43 4D 50 20 65 63 68 6F ..n....ICMP echo
08 00 6E 88 00 01 00 15 49 43 4D 50 20 65 63 68 6F ..n....ICMP echo
Las respuestas son todas iguales, excepto por 9 bytes de datos 00 al final de la carga útil de respuesta. Sé que al ver esto no se intercambian datos en este momento, pero ¿es posible que haya un software "espía" instalado en mi computadora y pueda comenzar a enviar datos en algún momento?
EDITAR: parecen poseer 202.39.128.0/17
EDIT 2: dado que todavía no puedo saber qué proceso está generando todas estas solicitudes ICMP, configuraré un servidor proxy utilizando Winpcap para simular la respuesta del servidor y averiguar qué proceso está reaccionando a "comandos" aleatorios del servidor . Al establecer rutas personalizadas, debería poder transferir la solicitud de eco a mi servidor. ¿Alguna idea sobre cómo detectar un comportamiento extraño de un proceso que recibe comandos ocultos en un túnel ICMP? Pensé que podría intentar usar Sysinternals Process Monitor y buscar el acceso fallido al registro u otros tipos de errores.
EDIT 3: ¡Finalmente lo conseguí! Por alguna razón, tuve la idea de usar una solución de "fuerza bruta" para encontrar el proceso que causa el problema. Al observar cada secuencia de bytes en mi disco duro, puedo encontrar los datos en bruto dentro del archivo ejecutable de un programa. Así que ejecuté el primer programa que encontré, "SearchMyFiles" ( enlace ) y comencé una consulta para ICMP echo
. Adivina lo que encontré, parte de un montón de la historia de Google Chrome ... Un archivo DLL que contiene ICMP echo
y www.hinet.net
.
Aquí hay una vista previa de los datos que encontré:
49 43 4D 50 20 65 63 68 6F at offset 0001E4BC which correspond to ICMP echo
and
77 77 77 2E 68 69 6E 65 74 2E 6E 65 74 at offset 0001E233 (www.hinet.net)
La dll se llama gep.dll
y se encuentra aquí C:\Program Files (x86)\ASUS\AI Suite II\Network iControl\NetSvcHelp
Así que parece ser que ASUS envía todas estas solicitudes ICMP. Tengo una placa base de ASUS e instalé AI Suite desde su sitio web.
Todavía no sé si esta conexión es legítima o segura, y no puedo encontrar información en Internet sobre esta comunicación extraña entre un proceso asus y un servidor en Taiwán