J'ai récemment hérité d'un réseau d'entreprise et l'un des appareils a continué à avoir des erreurs de connexion aux lecteurs réseau mappés, les erreurs relatives à l'heure du serveur étant différentes de celles de l'ordinateur. Ce n'était pas le cas, mais j'ai trouvé un formulaire où les gens attribuaient cela à l'utilisation du mauvais serveur DNS. J'ai vérifié les paramètres DNS sur l'ordinateur et à ma grande surprise, le serveur DNS a été défini sur le bouclage (127.0.0.1). Je ne savais pas que les ordinateurs Windows avaient des serveurs DNS installés sur eux.
Première question, est-ce le comportement par défaut de Windows?
J'ai utilisé telnet pour vérifier qu'il y avait bien un processus acceptant les connexions sur 127.0.0.1:53 et c'était le cas.
Deuxième question, dois-je m'inquiéter de quelque chose comme ça du point de vue des logiciels malveillants?
Tout d'abord, non, ce n'est pas le comportement par défaut de Windows. Les systèmes d'exploitation clients Windows ne sont pas fournis avec un serveur DNS. (Les systèmes d'exploitation basés sur Windows Server le font, mais pas les systèmes d'exploitation de bureau/clients.)
Deuxièmement, oui, vous voulez probablement savoir quel service écoute sur ce port et y regarder de plus près. La première étape consiste à exécuter netstat -a -b
à partir d'une invite de commande ou d'un PowerShell. Cela répertoriera toutes les connexions ouvertes et ports d'écoute actuels, ainsi que les applications qui leur sont associées. Cela devrait vous permettre de déterminer quelle application ou service écoute sur UDP 53.
Le fait qu'il gère son propre serveur DNS n'est pas nécessairement une indication de malware, mais il pourrait certainement être un malware, donc je ne l'ignorerais pas et je voudrais enquêter dessus pour mieux le comprendre.
Il peut s'agir d'un service Windows appelé ' Partage de connexion Internet ', qui 'inclut un résolveur DNS local', comme l'indique l'article de Wikipedia. J'ai identifié que c'était le cas pour moi en suivant la réponse d'Alex.