explorer.exe conexiones TCP salientes

Iniciado por kub0x, 12 Noviembre 2014, 18:02 PM

0 Miembros y 1 Visitante están viendo este tema.

kub0x

Buenas tardes,

hace tiempo que leí que explorer.exe se conecta a servidores de Microsoft para mejorar la experiencia de conectividad de red, y seguramente, para más cosas como envío de información personalizada, cosa que te dejan deshabilitar al instalar Windows 8.1 (mi OS), por lo que me deshice de aquellas configuraciones que permiten el envío de informes, smartscreen y la cloud de Microsoft (SkyDrive). Como soy paranoico tengo creada una extensa regla de firewall para filtrar conexiones indeseadas bajo mi criterio.

Por lo tanto, ¿es normal que cada 10 minutos explorer.exe abra conexiones a estos hosts? En algunos utiliza SSL como podeis ver en la imagen de abajo.



Os dejo info de algunas de las IPs:

Esta siempre va por SSL y pertence a Microsoft -> http://www.elhacker.net/geolocalizacion.html?host=157.56.122.47
Esta otra ni siquiera es de Microsoft y siempre va por puerto 80 asi que pondré WIRESHARK a la escucha a ver que saco -> http://www.elhacker.net/geolocalizacion.html?host=204.245.63.67
También otra por puerto 80 y no es de M$ -> http://www.elhacker.net/geolocalizacion.html?host=64.208.186.27

Si alguno de vosotros sabe si Windows hace uso de otros ejecutables para enviar info a sus servidores ponedlo por aquí.


EDITO:


He analizado con Wireshark las conexiones con 64.208.186.27:80 (HTTP) y afirmo que explorer.exe se encarga de mantener los gadegts del escritorio metro, ya que descarga varios .xml relacionados con el tiempo o con las finanzas, en mi caso, seguramente se ocupe de actualizar otros gadgets.

Aquí os dejo las URLs que he obtenido con Wireshark, así como unas capturas de los .xml solicitados y los gadgets de metro, veréis que guardan relación.

URL: http://finance.services.appex.bing.com/Market.svc/AppTileV2?symbols=&contentType=-1&tileType=0&locale=es-ES

XML:



Gadget metro:



URL: http://weather.tile.appex.bing.com/WeatherService.svc/PreInstallLiveTile?lang=es-ES&region=ES&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&FORM=APXWEA

XML:



Gadget metro:



Que conste que no soy de Madrid, ya que deshabilite que las apps de Windows pudieran saber de mi localización.

Saludos!
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


patilanz

Muy interesante. Yo también tengo windows 8.1 y voy a probar a ver que hace. No me esperaba que explorer se encargue del metro.

Significa esto que si se consigue shell code en explorer.exe tendras control sobre la interfaz metro ? Se podría manipular los datos que recibes y mostrar información incorrecta.

Vjuan_

muchas conexiones simultaneas, por lo demas, nada raro, ademas utiliza puertos seguros el 80 y el 443
01001010 00100000 01000011 00100000 01000111