2011-08-31

svchost.exe, BITS e IP aleatórios

O meu svchost.exe tenta-se conetar a IP parvos.

Tirando os do DNS da Vodafone, nomeadamente, 212.18.160.133 e 212.18.160.134, há outros mais ou menos esquisitos, desde o do Windows Update a outros que não sei bem o que são.


Vou citar os que tomei nota, relembrando que o meu problema é com o facto de ser um serviço do Windows a fazer os pedidos - e explicarei mais abaixo que não é totalmente surpreendente - e com o facto de eu não conseguir descobrir quem é o responsável em última instância.

????????
4.23.56.254 -- Level 3 Communications -- <none>
Não faço a mínima do que seja, mas Level 3 é um backbone conhecido da Internet. Não estou a ver porque razão os contactaria.

213.199.181.90 -- Microsoft -- <none>
Sendo da Microsoft assumo que seja algo relacionado com o Windows, mas como há outro mais em baixo no post para o Windows Update, fica a dúvida.


?Akamai?
212.18.162.243 -- ? -- 243.162.18.212.rev.vodafone.pt
212.18.162.246 -- ? -- 246.162.18.212.rev.vodafone.pt

Os HTTP headers deste dizem "Server: AkamaiGHost". Vou assumir que é o CDN da Akamai, se por um lado acho estranho serem 'hostnames' normais, por outro parece que é normal -- e faz sentido -- fazerem mirror da rede deles 'dentro' do ISP.

Resta saber como descobrir que aplicação está a pedir acesso.


Windows Update
65.55.200.139 -- Microsoft -- update.microsoft.com


MSECN --> Microsoft Edge Caching Network
94.245.70.34 -- Microsoft -- cds29.par9.msecn.net
94.245.70.46 -- Microsoft -- cds41.par9.msecn.net
94.245.70.53 -- Microsoft -- cds48.par9.msecn.net
94.245.70.118 -- Microsoft -- cds99.par9.msecn.net
Vou assumir que é complemento ao Windows Update e/ou algo relacionado com o Microsoft Security Essentials


Google
209.85.227.100 -- Google -- wy-in-f100.1e100.net
209.85.227.101 -- Google -- wy-in-f101.1e100.net
209.85.227.102 ...
209.85.227.113 ...
209.85.227.138 ...
209.85.227.139 ...
Provavelmente pedidos originados no Google Update, instalado com o Chrome e outros produtos da Google.


VeriSign
199.7.55.72 -- VeriSign Global Registry Services -- OCSP.AMS1.VERISIGN.COM
199.7.54.72 -- VeriSign Global Registry Services -- OCSP.SFO1.VERISIGN.COM
199.7.71.72 -- VeriSign Global Registry Services -- OCSP.FRA1.VERISIGN.COM
Possível download de listas de verificação de certificados


Tenho ainda o 192.88.99.1, 239.255.255.250 e 224.0.0.252, mas esses são, respectivamente, um serviço do Windows (e de outros OS) de tradução IPv6/IPv4, UPnP e finalmente qualquer coisa só para a rede local.


Teorizando
O Windows fornece um serviço denominado Background Intelligent Transfer Service (BITS). Esse serviço pode ser usado por outros programas para fazer download de ficheiros. A vantagem de usar esse serviço é que os ficheiros são transferidos sem ocupar a largura de banda toda e o programador só tem de realizar o pedido, sendo o serviço que se encarrega de transferir o ficheiro de forma discreta.
Como desvantagem tem o facto de usar o mesmo executável (svchost.exe) que outros serviços essenciais do Windows para aceder à rede, como o DNS e DHCP, e de outros serviços como o UPnP e o IGMP, tornando mais difícil descobrir o que realmente aquele executável faz.

Quanto ao BITS em si, o comando «bitsadmin.exe /LIST /ALLUSERS /VERBOSE» deveria dar alguma informação útil, mas apenas dizer «Listed 0 job(s).»


Alternativa
Os pedidos podem ser originados por um processo filho do svchost.exe, o que me deixa como opções o wuauclt.exe (Windows Update), Dwm.exe (Aero Theme), WUDFHost.exe (se alguém descobrir me diga, fiquei com ideia que era o User Mode driver), AUDIODG.EXE (Servidor de som, creio), igfxsrvc.exe (qualquer coisa da gráfica Intel), wmiprvse.exe (servidor de WMI, creio).


Blog post acerca do svchost.exe

6 comments:

Peres said...

WUDFHost creio que é para drives virtuais.

Que tipo de segurança há para o uso do BITS? Melhor, não há aí potenciais falhas de segurança? O tráfego todo que estás a ver será legítimo?

Sintra said...

CONFIO EM TI GOUCHINHA!

Pedro F. said...

«"WUDFHost.exe" is a part of Windows Vista and Windows 7. Some Windows Vista/7 drivers run in user mode (such as USB drivers), specifically in a process running the executable image WUDFHost.exe. See User Mode Driver Framework for a technical reference.»

É o que é usado pela pen da Vodafone, pelo que vi no Device Maanager, visto que o ID do driver não está na net.
----------------

Não sei se há segurança para o uso do Bits, se quiseres experimentar usa isto (estou em Linux agora senão testava).

Estou a assumir que seja preciso direitos de administrador mas é uma questão de testar.

----------------

Duvido que o tráfego que estou a ver seja ilegítimo, instalei o Windows há pouco tempo, mas a única maneira de provar seria snifar o tráfego mas o Wireshark só suporta ligações 'físicas' por isso teria de ir para um sítio em que pudesse estar ligado por wireless ou cabo e ainda não calhou. Mas basta algum de vocês fazer o obséquio de instalar a Comodo (instalem apenas a Firewall e seleccionem na instalação o modo mais básico de funcionamento ou então ficam doidos de tanto pop-up) e depois aumentem a quantidade de popups unicamente para a Firewall para ver se também têm esse tipo de conexões.
----------------

Sintra: tá-se :p

Peres said...

Nunca mais fizeram uma firewall tão boa quanto a...a...falta-me o nome agora...mas sabes qual me refiro. Tinha "duas setinhas" no tray XD

Pedro F. said...

Sygate Personal Firewall :p, descontinuada pela Symantec quando comprou a Sygate. Sim, era a melhor. A Comodo quando é muito mais difícil de usar especialmente quando está na configuração mais picuinhas.

ArabianShark said...

Ah, Sygate Personal Firewall... bons tempos!