ADSL-BC

[ArKeL]

Cela fait quelque jours que mtask, dans sa version normal, essait d'accéder à internet et à chaque tentative c'est une ip appartenant à mon provider en l'occurence Skynet.
Quelqu'un aurait-il des info concernant une attaque utilisant mtask sous Windows ?

Edit:
Je remarque en regardant les logs que le port pour mtask est le 1025, mais quand filtrant par l'ip les ports sont assez cyclique 80, 5000, 1433, 5554, 3416, 6129, 1025 et parfois d'autres ports.
Mais le cycle ci-dessus est très récurrent.

[The Devil666]

Cela fait quelque jours que mtask, dans sa version normal, essait d'accéder à internet et à chaque tentative c'est une ip appartenant à mon provider en l'occurence Skynet.
Quelqu'un aurait-il des info concernant une attaque utilisant mtask sous Windows ?

Edit:
Je remarque en regardant les logs que le port pour mtask est le 1025, mais quand filtrant par l'ip les ports sont assez cyclique 80, 5000, 1433, 5554, 3416, 6129, 1025 et parfois d'autres ports.
Mais le cycle ci-dessus est très récurrent.

de mon coter j'ai seulement Taskmanager (taskmgr.exe) sous winXP

verifie l'authenticitée de ce programme, si il appartient bien a windows compare la date des fichier originaux de windows
de plus quel version de windows a tu ?
a tu un antivirus, un anti adaware, spyware, tel que SpySweeper ou similaire ???

car comme tu vois ce n'est pas le meme nom de programme et ancune connexion vers internet a partir de ce programme pour moi.
De plus si tu a un FW il aurait du t'avertir des tentative de connexion sortante ou entrante, si tu en a un, il fait mal sont boulot

[ArKeL]

mtask c'est le planificateur de tâche, pour Windows 2000 en tout cas.
Quand au FW, AV, anti-BHO, anti-spy, ... je suis assez bien fournis de ce côté là.
Non, c'est simplement mtask veut aller jouer sur le net et j'aimerais bien trouver une explication.
Kaspersky, spybot search & destroy, spysweeper, spyblaster, bhodemon, prevx, cwsshredder, x-raypc et hijack n'ont rien trouvé ou ne m'ont pas permis de trouver des applications "bizarre" sur ma bécane.
Enfin, mtask est bloqué par zone alarm depuis ca première tentative, donc cela ne m'inquiéte pas.
Mais des fois que quelqu'un ai l'une ou l'autre info, c'est toujours bon a prendre.

[phaZer]

mtask c'est le planificateur de tâche, pour Windows 2000 en tout cas.

T'es certain que c'est pas plutôt MSTask le planificateur de tâches de Win2K ?

[ArKeL]

Oui c'est bien mstask autant pour moi.
J'ai oublié de mettre le S à chaque fois.

[Albator]

Si tu n'as pas besoin du planificateur de tâches, désactive le service associé.
Sinon, ça donne quoi si tu fais scanner tes ports? le 1025 est stealth?

[ArKeL]

Le port 1025 est fermé et j'ai effectivement désactivé le planificateur de tâche en temps que service.
Sinon un scan des ports avec shield up, pc flank ou autres me confirme qu'ils sont tous fermés.

[The Devil666]

de mon coter j'ai aussi Mstask mais les ectention sont *.dll *.inf mais pas de *.exe

Si tu a Zone alarm comme je vois et mois aussi, (Version Pro 5.1.033.000)

si ce programe en question demande une connexion sortante, tu sais voir a quoi il sert avec la fonction "Repport dans les log du Firewal (Autres info) a ce moment la tu es rediriger vers Zone Labs pour un details approffondis ce ce fichiers.

comme par exemple pour moi (Test de report)

Propriété de l'alerte Valeur de la propriété de l'alerte Explication technique
Adresse IP d'origine 81.11.177.48 Adresse IP de l'ordinateur ayant envoyé le paquet qui est à l'origine de l'alerte.
Port d'origine 4746 Port utilisé par l'ordinateur source lors de l'envoi du paquet.
IP de destination 81.11.146.xxx Adresse IP de l'ordinateur vers lequel le paquet a été envoyé.
Port de destination 445 Port de l'ordinateur de destination ayant reçu le paquet.
Indicateurs TCP SYN Indicateur signalant l'établissement d'une connexion Internet ou réseau.
Protocole de couche transport TCP Protocole qui permet le transfert de données entre des logiciels installés sur différents ordinateurs.
Protocole de couche réseau IP Protocole qui permet à deux ordinateurs interconnectés de se localiser mutuellement sur un réseau.
Protocole de couche liaison Ethernet Protocole qui permet à deux ordinateurs directement reliés de partager un câble réseau.
Date d'alerte Dec-14-2004 02:54:15 PM GMT-08:00 Heure à laquelle ZoneAlarm Pro a détecté l'alerte sur votre ordinateur.
Nombre d'alertes 1 Nombre de tentatives de connexion à votre ordinateur après la première alerte. ZoneAlarm Pro empêche l'affichage répétitif d'alertes identiques sur votre ordinateur.

j'ai tous simplement demander plus d'info pour cette connexion vers mon pc avec le port 445 et voici les details suivant.

donc toi aussi tu peut le faire pour avoir plus de detail vis- avis de ce programe MSTask.exe.

de mon coter j'ai sans arret des connexion vers mon PC au port 445 & 135, ils sont bloquer, mais je ne m'en inquete pas et ca viens de Scarlet

[Albator]

Quelqu'un aurait-il des info concernant une attaque utilisant mtask sous Windows ?

Pour répondre à ta question initiale...

Service: MSTASK (mstask.exe)

What is MSTASK?
MSTask (Microsoft Task Scheduler) is an application that provides services for task scheduling.

Vulnerability: Denial-of-Service

Windows NT/2000 is vulnerable to a denial of service attack, due to a vulnerability in the Microsoft Task Scheduler (MSTask.exe). An attacker can send random characters to port 1026, where MSTask.exe listens and as a result slow down a vulnerable machine and possibly freeze it completely.

MSTask.exe only permits connections through the local host, limiting this to a local attack. However, if any local proxy (i.e. Winproxy or Proximitron) is installed on the system, a remote attacker can connect to port 1026 via local proxy and perform this attack remotely. The system must be rebooted to regain normal functionality.

Hot to fix?

* Simply set your firewall to block access to port 1026
* You can also set your firewall to block mstask.exe

[MaitreYoda]

Albator tu nous ferais pas une traduction en plus

[ArKeL]

@Albator
Merci, pourrais-je savoir où tu a trouvé cette info ?

@The Devil666
Ces ports sont ceux du RPC (Remote Procedure Call), j'avais créé une règle pour bloquer les ports 135, 445, 500 en TCP il y a longtemps pour une histoire de virus LSASS.

Apparemment le nombre de machine infectées connectées sur le net est assez impressionnante.

[The Devil666]

@Albator
Merci, pourrais-je savoir où tu a trouvé cette info ?

@The Devil666
Ces ports sont ceux du RPC (Remote Procedure Call), j'avais créé une règle pour bloquer les ports 135, 445, 500 en TCP il y a longtemps pour une histoire de virus LSASS.

Apparemment le nombre de machine infectées connectées sur le net est assez impressionnante.

pour ton info suivant tes connexion au port que tu a enoncer

port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Sockets des Troie
port 80 AckCmd, Back End, CGI Backdoor, Executor, Hooker, RingZero

pas d'autres infor pour les autres (Ports non afficher)


j'ai une bonne info pour toi et a propos de ton probleme, j'espere que ca peut t'aider a savoir les probleme de port concerner

vas un peut voir sur ce liens

What port numbers do well-known trojan horses use?
http://www.sans.org/resources/idfaq/oddports.php

ou plus complet pour tous les ports et leurs fonctions
http://www.neohapsis.com/neolabs/neo-po ... ports.html



je ne vois pas pourquois tu as cree des regle pour les port 135,445,500 par defaut Zone Alarm les bloques, les alertes frequente et journalier avec Zone Alarm sont les port 135 & 445 , je n'ai pas encore vus les ports 500

[Albator]

@ArKeL
La source est PC Flank http://www.pcflank.com/art20.htm

@MaitreYoda
Sers-toi de la Force