proping
06-04-2006, 10:29
Hola, este es mi primer post :-)
Hace 3 semanas he observado que cuando tengo el messenger abierto existen dos conexiones por el puerto 1863, cuando lo normal es una sola. La normal es esta:
TCP SUNITO:1062 baym-cs330.msgr.hotmail.com:1863 ESTABLISHED
y la rara esta:
TCP SUNITO:1101 by2msg1141813.phx.gbl:1863 ESTABLISHED
la llamo rara primero porque cuando instale el messenger no se abria, y segundo porque el dominio phx.gbl no existe (aparte suena como a "phising global")
en otro pc he instalado un nuevo windows y un nuevo messenger, y entrando en el, solo aparece la conexion normal.
Ahora viene lo mas interesante: estableci una conversacion por messenger entre ambas maquinas, y desde entonces, la maquina nueva tambien hace la conexion rara cada vez que entro en el messenger. Parace claro que un messenger ha infectado al otro.
Por otro lado, he mirado por google y parece que el dominio raro phx.gbl es usado por microsoft, al parecer por un robot de indexacion de webs, he visto que tambien hay emails con direcciones [email protected], entonces tengo la duda de si es una infeccion por un virus anonimo o un simil-virus creado por microsoft para algo (recoger datos...). Lo que me extraña es que ya que el messenger hace pasar todos los datos por servidores suyos, necesite otra conexion mas, y esta no la cree el messenger ya desde el principio, sino a partir de una conexion con otro messenger ya infectado.
No os parece raro? si alguien quiere comprobarlo personalmente puedo "infectarlo" por messenger, yo lo he probado en una maq. virtual, para no tener mas problemas.
De momento he cortado mis conversaciones por messenger con los colegas pero los echo de menos... me gustaria saber tambien si hay un cliente de messenger bueno y seguro..
gracias
Hace 3 semanas he observado que cuando tengo el messenger abierto existen dos conexiones por el puerto 1863, cuando lo normal es una sola. La normal es esta:
TCP SUNITO:1062 baym-cs330.msgr.hotmail.com:1863 ESTABLISHED
y la rara esta:
TCP SUNITO:1101 by2msg1141813.phx.gbl:1863 ESTABLISHED
la llamo rara primero porque cuando instale el messenger no se abria, y segundo porque el dominio phx.gbl no existe (aparte suena como a "phising global")
en otro pc he instalado un nuevo windows y un nuevo messenger, y entrando en el, solo aparece la conexion normal.
Ahora viene lo mas interesante: estableci una conversacion por messenger entre ambas maquinas, y desde entonces, la maquina nueva tambien hace la conexion rara cada vez que entro en el messenger. Parace claro que un messenger ha infectado al otro.
Por otro lado, he mirado por google y parece que el dominio raro phx.gbl es usado por microsoft, al parecer por un robot de indexacion de webs, he visto que tambien hay emails con direcciones [email protected], entonces tengo la duda de si es una infeccion por un virus anonimo o un simil-virus creado por microsoft para algo (recoger datos...). Lo que me extraña es que ya que el messenger hace pasar todos los datos por servidores suyos, necesite otra conexion mas, y esta no la cree el messenger ya desde el principio, sino a partir de una conexion con otro messenger ya infectado.
No os parece raro? si alguien quiere comprobarlo personalmente puedo "infectarlo" por messenger, yo lo he probado en una maq. virtual, para no tener mas problemas.
De momento he cortado mis conversaciones por messenger con los colegas pero los echo de menos... me gustaria saber tambien si hay un cliente de messenger bueno y seguro..
gracias