Jump to content

Archived

This topic is now archived and is closed to further replies.

Dragonslinger

UC Browser

Recommended Posts

Voici l'alerte que j'obtiens lors du lancement de UCBrowser Portable avec MalwareBytes Anti-Malware Premium 2.2.0.1024 avec base de signature v2016.01.20.06 en tâche de fond :
MalwareBytes_UCBrowser.png
 
L'URL www.google.com.bd aurait l'adresse IP 127.40.0.1, hors celle-ci est une adresse IP de Loopback, c'est à dire une adresse IP correspondant à localhost (notre PC).
 
Si on essaye de pinguer www.google.com.bd on obtient :

C:\Users\Ldfa>ping www.google.com.bd

Envoi d’une requête 'ping' sur www.google.com.bd [127.42.0.4] avec 32 octets de données :
Réponse de 127.0.0.1 : octets=32 temps<1ms TTL=128
Réponse de 127.0.0.1 : octets=32 temps<1ms TTL=128
Réponse de 127.0.0.1 : octets=32 temps<1ms TTL=128
Réponse de 127.0.0.1 : octets=32 temps<1ms TTL=128

Statistiques Ping pour 127.42.0.4:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

C'est l'adresse localhost de notre PC qui répond.

 

Mais qui donc a modifié l'adresse IP de www.google.com.bd (Google Bangladesh) ?
 
1 - J'essaye de pinguer le nom de domaine à partir de mon routeur Linksys WRT54GL via une connexion SSH, j'ai le résultat suivant (qui est conforme à ce qu'il devrait être) :

Tomato v1.28.7636 Toastman-IPT-ND ND VPN

root@Gandalf:/tmp/home/root# ping www.google.com.bd
PING www.google.com.bd (173.194.116.175): 56 data bytes
64 bytes from 173.194.116.175: seq=0 ttl=55 time=36.354 ms
64 bytes from 173.194.116.175: seq=1 ttl=55 time=34.997 ms
64 bytes from 173.194.116.175: seq=2 ttl=55 time=35.821 ms
64 bytes from 173.194.116.175: seq=3 ttl=55 time=35.163 ms
64 bytes from 173.194.116.175: seq=4 ttl=55 time=34.992 ms
64 bytes from 173.194.116.175: seq=5 ttl=55 time=34.599 ms
64 bytes from 173.194.116.175: seq=6 ttl=55 time=34.922 ms
64 bytes from 173.194.116.175: seq=7 ttl=55 time=35.509 ms
64 bytes from 173.194.116.175: seq=8 ttl=55 time=35.348 ms
64 bytes from 173.194.116.175: seq=9 ttl=55 time=34.940 ms

--- www.google.com.bd ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 34.599/35.264/36.354 ms

root@Gandalf:/tmp/home/root#

Le DNS utilisé par mon PC est celui distribué par mon routeur sur mon réseau local.
 
2 - Le fichier C:\Windows\System32\drivers\etc\hosts ne contient pas d'entrée concernant le domaine google.com.bd.
 
3 - Je n'ai aucun serveur DNS spécifié au niveau de la configuration de la carte réseau :
DNS.png
 
4 - Par contre, si je désactive MalwareBytes Anti-Malware, j'ai la bonne adresse IP pour Google Bangladesh, c'est donc lui qui bloque le domaine de Google Bangladesh et qui le fait pointer vers une adresse localhost :

C:\Users\Ldfa>ping www.google.com.bd

Envoi d’une requête 'ping' sur www.google.com.bd [173.194.116.175] avec 32 octets de données :
Réponse de 173.194.116.175 : octets=32 temps=35 ms TTL=54
Réponse de 173.194.116.175 : octets=32 temps=35 ms TTL=54
Réponse de 173.194.116.175 : octets=32 temps=35 ms TTL=54
Réponse de 173.194.116.175 : octets=32 temps=36 ms TTL=54

Statistiques Ping pour 173.194.116.175:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 35ms, Maximum = 36ms, Moyenne = 35ms

En conclusion : UCBrowser essaye de se connecter au site de Google Bangladesh alors que MalwareBytes Anti-Malware le bloque dans sa liste noire des sites supposés dangereux.

Share this post


Link to post
Share on other sites

J'utilise toujours l'ancienne version de Mbam (premium également) mais avec protection temps réel désactivée. En activant la protection l'ancienne version semble ne rien voir !

Share this post


Link to post
Share on other sites

Ok, avec la dernière version, il modifie la résolution du domaine google.com.bd en 127.40.0.1, qui correspond au localhost (127.0.0.1), en interdisant entièrement son accès. :angelic:

Share this post


Link to post
Share on other sites

Bonjour,

Je viens d'installer cette dernière version portable : ça marche pas mal, enfin.. pour les tests tout simples sur des sites que je fréquente régulièrement. Les déplacements à la souris fonctionnent aussi bien que sous Maxthon. Quant à la mémoire, il ouvre une demi douzaine de processus pour 2 à 300 00 octets et Maxthon en est à une dizaine pour 5 à 600 000 octets (et ce, pour le même nombre d'onglets ouverts).

Cet UCBrowser serait-il un sérieux concurrent à Maxthon ?

Share this post


Link to post
Share on other sites

Je me suis fait censuré sur le forum d'UC Browser parce que j'avais donné le lien vers la version portable que j'ai faite. :tongue:

Pourtant cette version portable me paraît bien faite et intéressante ! Je ne désespère pas qu'elle soit officialisée sous peu !

Share this post


Link to post
Share on other sites

J'ai eu le problème avec les liens sur leur forum 4 ou 5 fois ! Le dernier je viens de le mettre dans un txt zippé, ça leur fait les pieds ! :tongue:

 

Pour la version portable, pour bénéficier de l'accélération de lancement grâce à un service "UCService.exe" vous pouvez utiliser la ligne ci-dessous pour inscrire le service (à modifier suivant le répertoire ou vous avez mis la version portable)

"C:\UCBrowser Portable\Application\UCService.exe"  --install --start

Share this post


Link to post
Share on other sites

Je n'ai pas d'alerte aujourd'hui ? :unsure:

 

Mais en regardant mes capture d'écran d'un peu plus près, c'est Maxthon qui déclenchait les alertes en visitant le site d'UCBrowser... :s:

Share this post


Link to post
Share on other sites

Voilà ce que j'ai trouvé. Avec Maxthon, lorsque je consulte le site http://www.ucweb.com/international/pcbrowser/ucbrowser/ mon antivirus ESET Smart Security m'indique qu'un fichier dans le cache de Maxthon contient une variante de Win32/Taobao.A.

 

J'ai testé le fichier avec VirusTotal et voici le résultat : https://www.virustotal.com/fr/file/5748bc36c44b711164f5e1aa9b40bd8052038508cc3a9a5078827cfd80eab5e7/analysis/1456652703/

 

Seul ESET-NOD32 remonte cette alerte, c'est donc sans doute un faux positif. :tongue:

Share this post


Link to post
Share on other sites

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.