Salut à tous,

Depuis deux semaines mon firewall m'interroge sur une appli nommée "wget.exe" (placée dans winnt/system32/) qui essaye de sortir sur le net vers l'adresse IP : 216.55.154.180

Moi j'utilisais dans le temps une application sous unix qui s'appelait aussi wget, c'était un aspirateur de sites ouèbes. Mais sous windows je ne savais même pas que cela existait ...

Je n'ai pas trouvé d'anonce de virus là dessus et mon antivirus ne trouve rien dans le fichier non plus.

Que dois-je en penser ? Pour l'instant, dans le doute, j'ai bloqué l'accès internet à cette appli ...

Merci !

Aoz, dubitatif

c'est peut etre ça

http://www.interlog.com/~tcharron/wgetwin.html


sinon l'adresse IP que tu as relevé, ça concerne une société ou un particulier ???

Sauf que moi je n'ai jamais installé ce wget.exe qui se trouve dans "winnt/system32". Et qu'apparement ce n'est pas un programme inclu par défaut dans win2000.

Bon je vais effacer ce binaire et on verra bien ...

$whois 216.55.154.180

OrgName: Abacus America Inc.
OrgID: ABAC
Address: 5276 Eastgate Mall
City: San Diego
StateProv: CA
PostalCode: 92121
Country: US

NetRange: 216.55.128.0 - 216.55.191.255
CIDR: 216.55.128.0/18
NetName: ABAC1999A
NetHandle: NET-216-55-128-0-1
Parent: NET-216-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.ABAC.COM
NameServer: NS2.ABAC.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 1999-05-28
Updated: 2000-11-02

TechHandle: AD384-ORG-ARIN
TechName: A Net DNS Administrator
TechPhone: +1-858-410-6900
TechEmail: dns@aplus.net

OrgTechHandle: ANETS-ARIN
OrgTechName: A Net Support
OrgTechPhone: +1-858-410-6900
OrgTechEmail: support@aplus.net

# ARIN WHOIS database, last updated 2005-01-31 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.


$sudo nmap -O 216.55.154.180
Password:

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-02-01 14:17 CET
Interesting ports on 216-55-154-180.dedicated.abac.net (216.55.154.180):
(The 1648 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp filtered smtp
53/tcp open domain
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
6667/tcp open irc
8443/tcp open https-alt
Device type: general purpose
Running: FreeBSD 4.X
OS details: FreeBSD 4.6.2-RELEASE - 4.8-RELEASE, FreeBSD 4.7-RELEASE
Uptime 20.600 days (since Tue Jan 11 23:54:15 2005)

Nmap run completed -- 1 IP address (1 host up) scanned in 30.952 seconds



wget n'est en effet pas inclu par défaut sous windows (tu m'étonnes lol)

faut rechercher après le paramètre qu'il y a après
il doit surement vouloir télécharger quelque chose ... mais quoi

Si ton FW le permet, tu peux toujours interdire le NetRange: 216.55.128.0 - 216.55.191.255

Oui je pourrais, mais je crois que je vais tout simplement virer ce "wget.exe"

Ce qui m'emmerde c'est comment il s'est retrouvé installé ce soft ...

Tiens, un truc au hasard : as-tu essayé de passer des outils genre spybot ou adaware pour déceler les éventuels espions ? ça peut révéler des trucs intéressants...

La plupart des worms (qui font des attaques XSS - Cross Script Site)
qu'on trouve actuellement sur le net utilisent wget pour se télécharger sur la machine cible et ensuite attaquer d'autres serveurs web.
C'est le cas des differentes versions du vers santy qui s'attaque au forums phpbb
ou encore par exemple de celui qui s'attaque aux sites qui ont awstats d'installé.

ref: http://archives.neohapsis.com/archives/fulldisclosure/2005-01/0800.html

Le 01 février 2005 - 16 h 44, beavis a écrit : La plupart des worms (qui font des attaques XSS - Cross Script Site) qu'on trouve actuellement sur le net utilisent wget pour se télécharger sur la machine cible et ensuite attaquer d'autres serveurs web. C'est le cas des differentes versions du vers santy qui s'attaque au forums phpbb ou encore par exemple de celui qui s'attaque aux sites qui ont awstats d'installé. ref: http://archives.neohapsis.com/archives/fulldisclosure/2005-01/0800.html

ce soir en rentrant, je scanne ma machine moi...
En tout cas et pour l'info

J'ai fait un scan complet et un coup d'adaware : rien.

Malgré tout, l'hypothèse de Beavis me semble très vraisemblable. Je vais scanner ma machine avec un autre antivirus pour voir.

Le 02 février 2005 - 09 h 50, AozRoon a écrit : J'ai fait un scan complet et un coup d'adaware : rien. Malgré tout, l'hypothèse de Beavis me semble très vraisemblable. Je vais scanner ma machine avec un autre antivirus pour voir.

n'essaye pas que ad aware, mais utilise aussi spybot -search and destroy

Le 02 février 2005 - 11 h 51, djalex a écrit : n'essaye pas que ad aware, mais utilise aussi spybot -search and destroy

ou encore a-square (merci amon de l'avoir préconisé)
et le fait d'en passer plusieursn'est pas inutile, loin de là ! Contrairement aux anti-virus, puisqu'à mon avis il ne doit pas s'agir d'un virus mais d'un spyware.

Ah, et j'ai scanné mon PC hier soir : rien trouvé (pas de wget dans les rep)