Программы настоятельно просятся на 224.0.0.2?

Question

[mihass]

Речь идет о Windows 7. Несколько дней самые разные программы, в основном при запуске просятся по IGMP на 224.0.0.2 Я вобще то знаю что это такое, но я не пойму, что им всем там так резко понадобилось. Почему вот так вдруг, годами никому туда не нужно было а тут раз и все ломятся.

Был замечен explorer, firefox, TheBat, sidebar и еще кто то.


И еще одно в тему. Это я вообще не могу понять. У меня есть свой сервер, на нем почтовый сервер работает. В TheBat настроено несколько ящиков, которые с этим сервером коммуницируют. Так вот, сегодня Dropbox попросился на этот сервер на порт 110. Как такое может быть? Откуда Dropbox вообще об этом сервере узнал.

Как то волнительно стало :)

Answer 1

[Georg]

Мультикаст

224.0.0.2 — все маршрутизаторы локальной сети

Answer 2

[mihass]

Народ, вы меня не пугайте так резко, у меня финансовая инфа на компе и вообще много интересного найти можно. Считаете нужно бежать менять пароли? Я вроде никаких ссылок не открывал, никаких приложений в почте не запускал, сижу не под админаккаунтом.

Comments

[Cenness]

А всё хорошо же)
Живность допустила ошибку и выдала себя.
Если бы не это и она умела подгружать разные интересные модули всё было бы хуже.

[mihass]

Я об этом думаю периодически, но пока не клюнет…
Но меня сейчас больше интересует проблема, описанная в вопросе. Что посоветуете? Визуально я ничего не нашел пока. Сейчас прогоню парочкой утилит, но сдается мне, что они тоже ничего не найдут. Как убедиться в том, что это действительно зловред?
Активностаь эта началась дней 5 как уже. С тех пор я как минимум пару раз входил в аккаунт Яндекс денег и там до сих пор остаток на месте, что меня успокаивает :)
Не может firewall как то чудить? У меня Comodo стоит.

Answer 3

[JDima]

IGMP на 224.0.0.2

Join? Запустите Wireshark, узнайте, на какую группу подписываются/отписывается.

Comments

[mihass]

Тут уже для меня начинается темный лес :)
Вот такие строки в основном

4769	536.322505000	192.168.178.38	224.0.0.22	IGMPv3	54	Membership Report / Join group 224.0.0.252 for any sources
4111	410.322467000	192.168.178.38	224.0.0.22	IGMPv3	54	Membership Report / Join group 224.0.0.253 for any sources
3111	285.823344000	192.168.178.38	224.0.0.22	IGMPv3	54	Membership Report / Join group 239.255.255.250 for any sources

Что интересно. Закачал несколько программ, сделать сканирование — avz, малваре какую то, так они в процессе сканирования также постоянно просятся на 224.0.0.22

[Rafael Osipov]

Прогоните по системе SpyBot Search & Destroy с последними обновлениями.

[Rafael Osipov]

Качайте бесплатную версию, её достаточно для проверки и лечения.

[JDima]

В упор не вижу никакого криминала. Все группы — вполне легитимные для системы.
Как вы обнаружили все Join запросы? Может, файрвол обновился, и его расколбасило?

[mihass]

Обнаружил именно благодаря firewall, именно он мне эти песни и поет. И вы знаете, он действительно на днях обновился. Но как то уж его серьезно расколбасило, что он увидел как dropbox доступ к email серверу просит.
Весь день сканирую комп, ковыряю все что можно, нигде до сих пор ни одного следа нет. Все сканеры работают и молчат.

[JDima]

Мне кажется, ложная тревога. Ну допустим, шлют железки IGMP join на локальные мультикастовые группы. И? Вот если бы они джойнились на саму 224.0.0.2, или цеплялись бы к непонятным внешним адресам — это было бы прикольно. А так — вполне нормальное поведение, винда любит мусорить в сеть. С большой долей вероятности данные пакеты создаются самой ОС, а файрвол непонятно почему относит их к обычным программам.

[mihass]

Вы думаете, что firewall мог вместо TheBat увидеть Dropbox? IGMP запросы меня уже как то не сильно тревожат, а вот этот один запрос угробил мне сегодня весь рабочий день.

[JDima]

Почему нет?
Ну хорошо. Забудьте на время о файрволе, и:
1) Сначала найдите адрес, по которому идет подключение, и узнайте, что это такое с помощью любого сервиса ip lookup.
2) Проанализируйте трафик с помощью сниффера.
3) Определите, какой точно процесс создал соединение (netstat -b).

Любые показания файрвола на данный момент считайте ненадежными и подлежащими проверке вышеуказанными средствами.

[mihass]

Спасибо за советы, но, к сожалению, firewall теперь молчит. Этот запрос был только единожды, т.е. больше за день ни разу не повторился. Идут только IGMP запросы, но они вроде понятно на какой IP идут.
Сетевые соединения я периодически все время просматриваю и ничего криминального не нахожу.

[JDima]

Осталось сверить хеши нескольких бинарников (включая dropbox и explorer.exe) и на этом успокоиться.
И найдите в логах файрвола адрес, на который якобы ломился Dropbox. Наверняка он совпадет с забитым в Bat.

[mihass]

Да, адрес совпадает, в том то и дело. Т.е. Dropbox ломился на один из mail серверов, добавленных в TheBat. Если бы туда TheBat ломился, то я бы внимания наверное не обратил, но тут совсем другое дело. Да и если бы TheBat пошел почту проверять, то firewall не должен был бы сработать вообще, потому как для TheBat разрешающее правило есть.
Хеши я сравнить не подумал, попробую сделать и это, но тут шансов слишком мало, я никогда не работаю под админским аккаунтом а заменить dropbox.exe можно только под админом насколько я понимаю.

[JDima]

Да все равно сверьте.

Можно в поддержку написать.