traffico verso w8.dcx.yahoo.com

oggi controllo un po' di connessioni in uscita dalla nostra LAN
aziendale e vedo un pc (client windows 2000, norton corporate edition
installato aggiornato e running senza pieta`) che continua generare un
po' di traffico costante verso l'host w8.dcx.yahoo.com. Sniffo un po' e
vedo che il client genera

un SYN verso l'ip di yahoo
gli risponde yahoo con un SYN ACK
ri-risponde il client interno con un ACK
dopodiche` il client interno manda un RST

tutto questo si ripete esattamente 5 secondi dopo il primo SYN.

l'antivirus sul client tace, quindi non dovrebbe essere uno zombie
(tanto perche` sono paranoico) o se e` un trojan e` piu` recente di
quelli scoperti... Il pacchetto non contiene dati, il checksum e`
corretto (ethereal dice cosi`), ha il don't frag bit set, e nient'altro.

l'unica cosa 'sospetta' sul pc client installato (e running) e`
musicmatch jukebox sulla systray. ma cosa c'entra musicmatch con yahoo?
oltretutto musicmatch e` installato su altri client in LAN;
ciononostante questo e` l'unico che (sempre che sia lui) genera
traffico.


prima di lanciarmi in paranoie, qualcun altro ha notato comportamenti di
questo tipo con musicmatch jukebox? 

che potrei fare? sniffo sniffo e aspetto che venga generato del
traffico? 

paranoicamente,


-- 

lorenzo
lorenzo@digitalmind.it


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List