Possível tráfego de monitoramento de vírus proxy - como determinar a causa e a intenção do proxy?

0

Ontem à noite notei que não consigo me conectar à Internet. Eu verifiquei minha instalação do Arch Linux e estava tudo bem. Na verdade, meu telefone Android também estava bem. Após algumas escavações, tentei desativar 'Detectar configurações automaticamente' em Internet Options > LAN Settings.Funcionou. No entanto, isso me deixa muito preocupado. Eu nunca configurei um proxy antes e moro com outros dois que também não são tão conhecedores de tecnologia. Portanto, eu estou preocupado que eu possa ter pegado um vírus que está monitorando meu tráfego na web.

Para obter mais informações, digitei o chrome: chrome://net-internals/#proxy

O que mostra o seguinte:

PAC script: http://wpad/wpad.dat
Source: SYSTEM

Ao verificar dentro do wpad.dat, vemos o seguinte javascript:

function FindProxyForURL(url, host) {
    if (isPlainHostName(host) ||
        dnsDomainIs(host, ".windowsupdate.com") ||
        dnsDomainIs(host, ".microsoft.com") ||
        dnsDomainIs(host, ".baidu.com") ||
        dnsDomainIs(host, ".kaspersky.com") ||
        dnsDomainIs(host, ".live.com") ||
        isInNet(host, "10.0.0.0", "255.0.0.0") ||
        isInNet(host, "172.16.0.0", "255.255.224.0") ||
        isInNet(host, "192.168.0.0", "255.255.0.0") ||
        isInNet(host, "127.0.0.0", "255.0.0.0"))
    return "DIRECT";
    else
        return 'PROXY 185.93.3.120:8080';
};

Para ser sincero, não tenho certeza do que essa função faz. Meu palpite é que, se o URL corresponder a qualquer um dos seguintes nomes de host, ele servirá uma conexão direta. Senão, ele usará o proxy. Isso significa que praticamente todos os sites são roteados através desse proxy.

Decidi executar o netstat para ver se consigo encontrar alguma conexão indo para 185.93.3.120:8080.

C:\Windows\system32>netstat -b

Active Connections

Proto  Local Address          Foreign Address        State
TCP    192.168.8.6:49693      hk2sch130021322:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:49715      104.16.60.37:https     ESTABLISHED
[Discord.exe]
TCP    192.168.8.6:49880      hk2sch130021554:https  ESTABLISHED
[OneDrive.exe]
TCP    192.168.8.6:49938      hk2sch130022123:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:50076      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50077      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50079      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50467      tl-in-f108:imaps       ESTABLISHED
OneSyncSvc_3b12c
[svchost.exe]
TCP    192.168.8.6:50568      tl-in-f188:5228        ESTABLISHED
[chrome.exe]
TCP    192.168.8.6:50699      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50701      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50702      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50704      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50766      ns329092:http          CLOSE_WAIT
[Code.exe]
TCP    192.168.8.6:50870      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50871      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50872      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50873      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50877      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50879      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50880      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50884      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50890      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50892      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50893      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50895      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]

Outra vez, esqueci o sinalizador -b, mas notei que ele estava conectado ao stackoverflow, quando não conseguia conectar-me à Internet:

TCP    192.168.8.6:50643      stackoverflow:https    ESTABLISHED

O problema foi resolvido por: Propriedades da Internet> Configurações da LAN> Detectar configurações automaticamente (desmarque)

Estou preocupado que eu tenha um vírus que esteja monitorando meu tráfego na Internet. Acabei de reformatar há duas semanas e ainda não instalei um antivírus. O wpad.dat é relativo, especificamente return 'PROXY 185.93.3.120:8080';. Não tenho idéia porque há um wpad.dat na minha rede. Este arquivo está sendo veiculado pelo roteador? Pelo ISP? Pelo meu computador? Como posso saber se isso é malicioso ou não?

Para esclarecer, eu posso conectar agora, mas não consegui conectar ontem, e as seguintes etapas que eu tomei acima foram diagnosticá-lo. Não estou satisfeito com a internet funcionando agora - quero saber o que há de errado aqui.

Obrigado.

Kevin
fonte

Respostas:

0

Estou pesquisando esse ip porque foi configurado como um winhttp no Windows 10 e o Outlook não pôde se conectar ao Exchange 365 com ele configurado. Desde então, descobri que o Windows Update mudará isso se parecer com isso? http://datacamp.co.uk/ é para onde o ip me aponta.

netsh winhttp redefinir proxy

https://support.microsoft.com/en-gb/help/900935/how-the-windows-update-client-determines-which-proxy-server-to-use-to-

sam
fonte
Você está em Hong Kong ou China por acaso? Estou em Hong Kong - será que isso tem a ver com localização?
23417 Kevin
Reino Unido aqui, ms atualizações possivelmente
sam
Sim, mas por que isso significa que também podemos acessar http://wpad/wpad.datsistemas operacionais não Windows (por exemplo, Android)?
Kevin
0

Mesmo aqui, eu também tenho esse problema desde ontem. Assim como você, pensei que havia um vírus monitorando meu tráfego. Eu verifiquei o wireshark e pude encontrar esse endereço IP 185.93.3.120, mas os pacotes estavam caindo. Fiz uma pesquisa whois, mas não obtive muitas informações.

De qualquer forma, conforme sugerido por você, essas etapas resolveram o problema O problema foi corrigido por: Propriedades da Internet> Configurações da LAN> Detectar configurações automaticamente (desmarque)

xcaliber
fonte
11
Você está em Hong Kong ou China por acaso? Estou em Hong Kong - será que isso tem a ver com localização?
23417 Kevin