Standardschutz: Verhindern Sie die IRC-Kommunikation

5207
awe

Ich habe McAffee virusscan auf meinem Arbeitscomputer, und bei jedem Start bekomme ich zwei Protokolleinträge wie diese:

Blocked by port blocking rule C:\Program Files\Skype\Phone\Skype.exe Anti-virus Standard Protection:Prevent IRC communication 

Der Unterschied zwischen den beiden besteht darin, dass am Ende zwei verschiedene IP-Adressen (die ich nicht als zu uns gehörend erkenne) mit Port :6667auf der einen und :6669auf der anderen stehen.

Obwohl dies protokolliert wird, scheint Skype erwartungsgemäß zu funktionieren. einschließlich Sprechen, Chatten und
Bildschirmfreigabe (neue Funktion in Skype 4.1).

Weiß jemand etwas darüber, was das ist?

BEARBEITEN:
Ich habe auch ein Skype-zertifiziertes Plugin namens Cucku Backup . Ich habe in der Dokumentation nichts gefunden, was Cucku versucht, über Skype auf diese Ports zuzugreifen, aber es könnte sein ...?

EDIT2:
Ich habe die betreffenden IP-Adressen auf www.webyield.net gesucht und folgende Ergebnisse erhalten:

IP 71.251.72.173 (dieser Port verwendet: 6667)
: Hostname : pool-71-251-72-173.tampfl.fios.verizon.net

IP 79.87.54.165 (dieser verwendete Port: 6669)
: Hostname : 165.54.87-79.rev.gaoland.net

0

3 Antworten auf die Frage

2
Qwerty

Die Einstellung dafür in VSE finden Sie unter: VirusScan Console -> Zugriffsschutz - Eigenschaften -> AntiVirus-Standardschutz -> IRC-Kommunikation verhindern. Da Sie einen Arbeitscomputer verwenden, hat Ihr Sysadmin wahrscheinlich diese Einstellung auf dem McAfee ePO-Server festgelegt und wird zurückgesetzt, wenn Sie ihn ändern. Dies ist eine Standardeinstellung für McAfee ePO.

Ich glaube nicht, dass hier etwas Böses vorgeht. Skype.exe hat versucht, einen Port zu verwenden, der standardmäßig von McAfee VSE blockiert wird. Wenn Sie die Einstellung geändert haben, meldet VSE den Portzugriffsversuch wahrscheinlich immer noch in derselben Protokolldatei, sagt jedoch: Wurde durch die Zugriffsschutzregel blockiert (die Regel wird derzeit nicht durchgesetzt)

Ich vermute, dass Skype.exe wahrscheinlich gerade einen anderen Port ausprobiert hat?

1
jtimberman

Der Standard-IRC-Serverport ist 6667. IRC-Server werden normalerweise von Virus-Botnetzen verwendet. Verwenden Sie den Befehl netstat, um festzustellen, welcher Prozess an diesem Port ausgeführt wird. Sie müssen cmd.exe als Administrator starten und dann:

netstat -bn 

Zum Beispiel auf meinem Vista-System, das an den Intertrons gesichert ist, aber Windows Filesharing und vnc ausführt:

PS C:\Windows\System32> netstat -bn  Active Connections  Proto Local Address Foreign Address State TCP 10.10.10.110:445 10.10.10.105:49156 ESTABLISHED  Can not obtain ownership information  x: Windows Sockets initialization failed: 5 TCP 10.10.10.110:5900 10.10.10.105:61594 ESTABLISHED [WinVNC.exe] TCP 10.10.10.110:49316 10.10.10.1:4444 CLOSE_WAIT BITS [svchost.exe] TCP 10.10.10.110:49361 10.10.10.1:4444 CLOSE_WAIT BITS [svchost.exe] TCP 10.10.10.110:55488 10.10.10.40:445 ESTABLISHED  Can not obtain ownership information 
Ich habe das gerade jetzt ausprobiert, aber keiner von ihnen enthielt irgendetwas für Port: 666x awe vor 15 Jahren 0
Es kann sein, dass McAfee es in einem frühen Stadium blockiert hat, sodass es niemals in netstat angemeldet ist. awe vor 15 Jahren 0
Ja, es kann sein, dass der Prozess von der Firewall blockiert wurde. Skype selbst öffnet den Port 6667 oder 6669 auf meinem OS X-System beim Starten nicht. Ich habe kein Skype unter Windows installiert, daher kann ich dort nicht nachsehen. jtimberman vor 15 Jahren 0
Technisch gesehen ist der Standard-IRC-Serverport 194. grawity vor 15 Jahren 1
Botnet-IRC-Server bleiben normalerweise ohnehin an einem beliebigen Port offen. Durch das Blockieren der üblichen IRC-Ports wird keine wirkliche Sicherheit geschaffen, nur die Unfähigkeit, sich mit den meisten IRC-Servern mit den meisten IRC-Clients zu verbinden, und sogar dann könnte dies leicht umgangen werden. Don vor 14 Jahren 0
1
heavyd

McAfee blockiert standardmäßig die Standard-IRC-Ports, um den Schutz vor Malware zu gewährleisten, die über IRC kommuniziert. Skype scheint nicht bösartig zu sein. Wahrscheinlich handelt es sich bei den IP-Adressen, mit denen eine Verbindung hergestellt werden soll, entweder um einen Benutzer in Ihrer Kontaktliste oder um einen Skype-Superknoten, über den Ihr Computer eine Verbindung zu Port 666x herstellen soll. Sie können skype.exe problemlos über die McAfee-Konsole zur Liste "Allowed" hinzufügen und feststellen, ob sich dadurch die Leistung für Sie ändert. Da Sie jedoch sagen, dass Skype nicht betroffen zu sein scheint, können Sie dies auch ohne White-Listing tun.