hola a todos!. hoy me ha pasado una cosa con el pc y queria comentarlo en el foro para ver que opinais.
me presento un poco, soy una persona con pocos conocimientos de redes y de virus, solo me salvo de toda la basura que hay en internet porque llevo muchos años conectado. he visto de todo y por eso soy muy precavido y perspicaz.
desde que perdi miles de fotos por culpa del virus “i love you” infectado desde un canal irc mi forma de navegar y usar el pc cambio drasticamente, y nunca he vuelto a tener problemas importantes. esta claro que aparte de tener un buen antivirus como avast hay que saber navegar y no ir por ahi navegando a lo loco e instalando a lo loco. pero a pesar de ese cuidado que tengo pueden suceder cosas como lo que me ha pasado ahora.
me gusta mucho la politica y llevo algunas semanas visitando portales de noticias de eeuu, aunque por norma no me gusta entrar a webs de eeuu por temas de privacidad, y a pesar de tener bloqueador de script en el navegador parece ser que alguno a conseguido dañar mi pc, y mas concretamente dañar mi avast.
hoy me di cuenta a traves de mi cortafuegos que tenia trafico sin tener ningun programa abierto y sin usar el pc. el trafico era aproximadamente de 1 mega cada 10-15 minutos, tanto recibia datos como los transmitia. cortana o onedrive no podian ser porque los tenia completamente bloqueados. abro cmd en windows, tecleo netstat -ano y veo que solo hay una conexion con una ip, la ip r-54-45-234-77:http puerto 56001 con el pid 1892. despues tecleo tasklist y veo que el pid corresponde a AvastSvc.exe gastando 37.184 KB de memoria.
teniendo ya la ip me pongo a hacerle un whois y el whois me dice que es una ip de eeuu, desde ese momento saltan todas la alarmas porque yo se que avast no es estadounidense. ese whois me dice que es una ip de “Merck and Co., Inc. (MERCKA)”. sigo investigando esa ip y en otro whois en la pagina https://www.whatismyip.com veo algo que me deja de piedra, parece que es como que el whois me esta diciendo que es una ip de la red de la casa blanca de eeuu. el whois de https://www.whatismyip.com lo he guardado en un archivo .mht de firefox.
copio lo que decia ese whois. hay 1 palabra que sale en español porque la traduci ya que se poco ingles, donde pone “OrgTechEncargarse de” esta traducido, pero lo demas esta todo sin modificar:
NetRange: 54.0.0.0 - 54.63.255.255
CIDR: 54.0.0.0/10
NetName: MERCK2
NetHandle: NET-54-0-0-0-1
Parent: NET54 (NET-54-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Merck and Co., Inc. (MERCKA)
RegDate: 1992-03-17
Updated: 2014-06-20
Ref: https://whois.arin.net/rest/net/NET-54-0-0-0-1
OrgName: Merck and Co., Inc.
OrgId: MERCKA
Address: 126 East Lincoln Avenue
City: Rahway
StateProv: NJ
PostalCode: 07095
Country: US
RegDate: 1992-03-17
Updated: 2005-12-21
Ref: https://whois.arin.net/rest/org/MERCKA
OrgTechEncargarse de: WHITE7-ARIN
OrgTechName: Whitehouse Telecom
OrgTechPhone: +1-908-423-2900
OrgTechEmail: whitehouse_telecom@merck.com
OrgTechRef: https://whois.arin.net/rest/poc/WHITE7-ARIN
OrgAbuseHandle: WHITE7-ARIN
OrgAbuseName: Whitehouse Telecom
OrgAbusePhone: +1-908-423-2900
OrgAbuseEmail: whitehouse_telecom@merck.com
OrgAbuseRef: https://whois.arin.net/rest/poc/WHITE7-ARIN
OrgNOCHandle: WHITE7-ARIN
OrgNOCName: Whitehouse Telecom
OrgNOCPhone: +1-908-423-2900
OrgNOCEmail: whitehouse_telecom@merck.com
OrgNOCRef: https://whois.arin.net/rest/poc/WHITE7-ARIN
A los 5 minutos de hacer los whois, volvi a entrar a cmd, tecleo netstat -ano y sorpresa!, la ip ya no era de eeuu, era checa 77.234.45.54, como deberia haber sido desde el principio.
Tengo que decir que el analisis en la nube de avast lo tengo desactivado, solo trabaja offline, aunque esta perfectamente actualizado. El analisis en la nube es buenisimo en un antivirus y muy importante si quieres tener una buena seguridad, pero no lo tengo activado porque atenta un poco contra la privacidad a mi entender. Creo que si hubiera tenido activa la nube no hubiera pasado esto.
alguien me puede decir porque avast se conecta a esa ip?, y vosotros que tendreis mas conocimientos que yo, podeis hacerle un analisis mas profundo a esa ip para ver que esconde?. Yo jamas he entrado a merck.com y tampoco a la web de la casa blanca.
gracias.