Express Software Manager = j'ai pas révé, il m'espionne ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Express Software Manager = j'ai pas révé, il m'espionne ?

Messagede xla99 » 09 Oct 2006, 07:33

Salut. Bon alors j'ai un problème insoluble pour moi et donc, je m'en remet à vos lumières.

Donc, la semaine dernière, lorsque je me suis logué au bureau avec ma machine pro, je me suis rendu compte que les gens du service info, en plus des MaJ habituelles installaient "Express Software Manager Pro" (http://www.expressmetrix.com/)

Je m'informe vite fait sur le net, j'ai un doute, je fouille et là, c'est dingue.
1/ il n'y a aucune trace du logiciel en question dans program files mais je finis par trouver des exécutables liés à ce logiciel dans un repertoire C:\WINDOWS\system32\wex4962 (EMCliSrv.exe ; EMInvCli.exe ; EMLicenseCheckOut.exe ; EMMeter.exe)
2/ dans ce même répertoire, des fichiers xml (voir détail plus bas) que j'ouvre et là, je rêve. Alors que ce logiciel est présenté comme devant faire l'inventaire de mes logiciels pour faciliter la gestion du parc info, je découvre qu'il stock (et dois très certainement transmettre) une image exacte de l'ensemble de mon disque dur avec toute l'arborescence de fichier et tous les noms de tous mes fichiers, quelqu'ils soient et des traces de ce dont je me sers, quand et combien de temps !

Vraiment pas content et ne voulant pas partir en croisade contre le service info car c'est une bataille perdue d'avance, je décide de désactiver cette saloperie de ma machine (j'ai des droits administrateur). Je pensais que cela allaient être facile et je me lance :
1/ je désactive un service EMCliSvr (décrit comme "Client Service") en le passant en "manuel"
2/ avec spybot, je désactive le lancement au démarrage de EMMeter.exe
3/ je bloque tout ce qui voudrait sortir ayant un rapport avec ce truc avec Outpost.

Cependant, je check mon journal dans outpost et découvre qu'il y a EMInvCli.exe qui tente de se connecter en moyenne 10 fois par seconde à plein d'IP différentes. Et là, je ne comprends pas car:
- Il tente toujours de se connecter à des url ou bien des IP qui en majorité n'ont rien à voir avec celles de mon entreprise ( voir log outpost plus bas ).
- Il n'y a aucune trace de EMnvCli.exe dans les processus actifs ni dans les services et je peux changer son nom alors comment celui-ci peut-il vouloir se connecter à l'extérieur si il n'est théoriquement innactif et n'est utilisé par rien ???
- Un truc dingue (enfin, pour moi), si je fais une recherche sur "EMInvCli.exe" dans vex4962, je n'obtiens aucun résultats. De même pour "EMI*" qui va me renvoyer les xml commençant par "EMI" mais jamais l'exécutable !!!

J'ai aussi remarqué que quand je suis à l'exterieur, il reste "tranquille" mais que à chaque fois que je me logue au reseau du bureau, outpost me notifie que les composants de ce programme ont changé.

Donc ma question : Comment faire pour désactiver proprement EMInvCli.exe qui fait le mort mais qui pourtant est très actif. Si je change le nom de l'exe ou que je zipe le dossier pour tout vérouiller, cela fonctionne mais bon, je n'aurais par compris pour autant.

PS : Je ne voudrais pas passer pour un fou mais j'ai pas rêvé, ce que je viens d'écrire est vraiment arrivé mais là, après avoir fait le test de changer le nom de "EMInvCli.exe", il a enfin disparu du log de outpost après redémarrage. Le problème, c'est que même si je lui redonne son nom d'origine, il ne se réactive toujours pas après redémarrage, comme si le problème était résolu !

Donc voila, j'éspère ne pas avoir levé un lièvre foireux, je verrais bien ce qui va se passer en me logant mardi mais je trouve tout de même gonflé ce genre de procédé, c'est carrément de l'espionnage.

Bonne nuit.

Alex

Fichiers xml :
- cachedApps.xml qui stocke chronologiquement les programmes dont je me sers avec la durée
- Config.xml qui donne le détail de ma configuration materielle
- controlledMachineApps.xml qui est vide
- EmInvInfo.xml à EMInvInfo6.xml qui donnent une image de mon disque et de tous les fichiers installés dessus
- RecentApps.xml qui donne le détail de tous les changements récents apportés à mes programmes
- serviceOptions.xml = je sais aps vraiment, cela ressemblerait à des paramètres de services
- <Options>
<IsValidVersion>True</IsValidVersion>
<IsValidAccessPointVersion>True</IsValidAccessPointVersion>
<StartInventory>True</StartInventory>
<HeartBeat>43200000</HeartBeat>
<IsMeteringEnabled>True</IsMeteringEnabled>
<IsControlEnabled>True</IsControlEnabled>
<InventoryIfLoggedIn>False</InventoryIfLoggedIn>
<ShellHookDisabled>False</ShellHookDisabled>
</Options>

Extrait de mon fichier log de outpost :
01:37:11 n/a OUT REFUSED TCP 82.225.126.164 33041 Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 84.196.104.243 3422 Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 86.209.9.60 16033 Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 84.202.5.150 7182 Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 82.46.190.78 53219 Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 84.202.5.150 HTTP Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 81.216.34.211 11337 Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 80.218.99.33 HTTP Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 84.43.123.103 20715 Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 84.196.104.243 HTTP Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 80.218.99.33 HTTPS Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 84.202.5.150 HTTPS Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 84.196.104.243 HTTPS Block activity for application EMINVCLI.EXE
01:37:11 n/a OUT REFUSED TCP 86.8.218.186 33825 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 80.186.97.177 HTTPS Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 85.226.132.59 62942 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 86.202.127.171 3238 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 84.194.106.46 16791 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 82.204.38.74 26420 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 89.100.80.196 48662 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 84.57.72.243 50234 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 80.186.97.177 20318 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 82.67.177.59 27888 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 80.186.97.177 HTTP Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 84.57.72.243 HTTPS Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 84.25.154.81 58529 Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 84.57.72.243 HTTP Block activity for application EMINVCLI.EXE
01:37:10 n/a OUT REFUSED TCP 81.82.83.228 26530 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 82.253.159.18 24452 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 82.181.151.211 1617 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 86.138.30.151 12377 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 81.230.177.108 34539 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 82.174.194.175 7680 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 82.197.5.172 60908 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 213.93.115.22 1759 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 82.174.194.175 HTTP Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 82.244.52.50 1764 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 83.233.98.69 HTTP Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 83.233.98.69 1939 Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 86.138.30.151 HTTP Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 83.233.98.69 HTTPS Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 82.174.194.175 HTTPS Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 86.138.30.151 HTTPS Block activity for application EMINVCLI.EXE
01:37:09 n/a OUT REFUSED TCP 62.143.198.8 2799 Block activity for application EMINVCLI.EXE
01:37:08 n/a OUT REFUSED TCP 80.222.150.136 50376 Block activity for application EMINVCLI.EXE
01:37:08 n/a OUT REFUSED TCP 80.222.150.136 HTTP Block activity for application EMINVCLI.EXE
xla99
 
Messages: 32
Inscription: 19 Mai 2004, 15:45

Messagede xla99 » 09 Oct 2006, 07:47

Dernier rebondissement après un petit test.

En fait, il paraitrait que mes manips ont bien fonctionné pour bloquer Express Software Manager.
J'ai découvert cette histoire de log de outpost en tentant de comprendre pourquoi il me bloquait Skypes.

Là, je viens juste de faire le test plusieurs fois:
- Skype se lance automatiquement au démarrage mais ne se connecte pas et dans outpost, RAS, tout est ok.
- Si je d'essayer de me connecter avec Skype, c'est là que EMInvCli.exe apparait dans outpost
- Si je quitte skype, EMInvCli.exe ne tente plus de se connecter et disparait des logs de outpost.

Donc finalement, ma question serait : qu'est ce que Skype et Express Software Manager ont à faire ensemble dans cette histoire de dingue ? Ou alors, est-ce outpost qui plane complêtement avec un log erroné ?

J'en peus plus, au dodo.
xla99
 
Messages: 32
Inscription: 19 Mai 2004, 15:45

Messagede Jim Rakoto » 11 Oct 2006, 09:11

Salut


Ton entreprise, comme c'est son droit le plus strict a installé un programme Express Software Manager pour gérer son parc informatique et surveiller les applications qui tournent sur les PC afin de vérifier leur compatibilité en cas de migration ou autres.

http://solutions.journaldunet.com/99oct/991027wrq.shtml

Et donc quand quelqu'un essaye d'installer une application, ESM enregistre le fait ce qui est encore une fois tout à fait normal pour garantir par exemple la sécurité des infos de la firme.

Or toi, non seulement tu désactives un outil "officiel" , mais en plus tu installes un logiciel dont la sécurité n'est pas le point fort (si elle n'est pas gérée très sérieusement) et qui pourrait ne pas être assimilé par l'employeur à un logiciel "utile" pour le travail.

Si tu as des droits administrateurs, il semble bien que le service informatique ait des droits super-administrateur puisque : "Si je d'essayer de me connecter avec Skype, c'est là que EMInvCli.exe apparait dans outpost "

Et sans doute, tes tentatives de désinstallation sont enregistrées dans leurs logs puisqu'il semble exister une routine.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede xla99 » 11 Oct 2006, 15:32

Salut.

Ben j'ai jamais dis que mon entreprise n'avait pas le droit d'installer ce genre de logiciel sur nos machine et je comprends tout à fait l'importance de pouvoir gérer un parc informatique à distance et donc par là, l'importance de ce genre de soft.

Cependant, je n'ai trouvé nul part sur le net l'information comme quoi ce logiciel allait scanner mon disque dur et lister l'ensemble de mes fichiers, y compris ceux de mon dossier perso. Ça, je trouve cela inadmissible, mon dossier perso ne regarde que moi. Surveiller mes soft et ce qu'y s'installe sur mon ordinateur est une chose, m'espionner sans m'avertir en est une autre surtout quand on ne trouve aucune trace sur le net de ce volet du logiciel.

Pour ce qui est de leur politique de sécurité, je pense qu'ils auraient peut être mieux à faire que d'installer ce genre de logiciel comme par exemple fournir des firwall aux utilisateurs de portable, crypter les données sur les disques des portable, etc .... Je suis le seul à m'être procuré une license outpost personelle pour mon ordinateur pro. Les autres n'ont rien, juste un AV et peuvent se connecter où ils veulent sur des connexions telephoniques ou en reseau à la maison pour ensuite revenir se connecter au reseau de l'entreprise avec des machine infectées de spywares et autres joyeuseté. Et là, on parle d'une très grosse boite, pas d'une PME alors j'hallucine sur ce genre de pratique.

Enfin, j'ai tout désactivé en effet pour les raisons citées plus haut. Ce que je trouve étrange : quand skype essait de se connecter, pourquoi il y a ce processus qui apparait dans outpost alors qu'il est désactivé et qu'il n'apparait nul part dans les processus actifs ? Là, on ne parle pas d'installation de soft, on parle juste de la tentative d'un soft de se connecter. Cela le fait qu'avec skype, le processus en question est innexistant dans outpost si skype est fermé.

Donc est-ce un délire de outpost ? Je ne sais pas, c'était juste pour essayer de comprendre.
xla99
 
Messages: 32
Inscription: 19 Mai 2004, 15:45

Messagede Jim Rakoto » 11 Oct 2006, 16:27

Re

Il scanne en permanence ton PC et le fonctionnement du réseau

The best software asset management tool available today.

It’s easy to manage all of your IT assets with Express Software Manager Professional. Its unique integrated PC inventory and software usage data means you not only know what your organization has, you also know each asset’s role and value to your organization. With Express Software Manager Professional, you can manage your IT assets by:

Automatically discovering all the PCs and servers in your domain, Active Directory or organization.

Conduct on demand or regularly scheduled PC inventories and collect detailed hardware and software information.


Track all your software licenses and purchase history with the detailed purchasing interface.

Meter software applications and see actual software usage data.


Control application launches and manage concurrently licensed software applications.


Track remote and disconnected users regardless of whether the workstation is connected to the network.

View software inventory and usage data as it's collected.

Express Software Manager Professional provides comprehensive software and hardware audit information such as:

Software file data, including name, product ID, size, date, path, and version, and whether the installation is an individual component or part of an application suite.

Software purchase history and license tracking with the purchasing interface, track unlimited parameters such as number of licenses, cost, maintenance expiration dates and purchase order details for each application. This data is automatically reconciled with the software inventory to quickly determine your license compliance status.

Hardware information including computer name, CPU type and speed, memory, disk space and serial number, as well as any number of customizable WMI parameters you need.

Meter the software usage in your environment and:

Ensure the applications you’ve invested in are actually being used.

Automatically discover new applications introduced onto the network.

Control software applications in your environment and:

Prohibit the launch of rogue, unauthorized or illegal applications.

Manage concurrently licensed software applications and allocate licenses based on need including users or groups within your organization.

Lockdown the desktop by locking out undesired applications and help ensure network stability.

Express Software Manager Professional provides current inventory PC audit data and software usage information in one interface. At a glance viewing of all your IT assets can be found in Express Today. Express Today allows you to quickly see new machines, new applications and IT assets needing your attention.

Express Today also provides easy access to the Express Reports Console which provides comprehensive and up-to-date reports in a format best suited for you. This information enables you to make informed decisions for your environment. Use Express Software Manager Professional as a PC audit tool for all the desktops on your LAN—and remote users too.


Si j'ai bien tout suivi, aucune application ne peut se lancer qu'à travers ESM

Donc le processus est recréé "obligatoirement"
Outpost qui est un vigilant, le signale. Et normalement tous tes collègues sont dans le même cas mais sans le savoir, eux.

Voilà, voilà

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede xla99 » 11 Oct 2006, 18:51

Effectivement, ils y sous entendent que les données utilisées par mes soft seront listées. Donc, c'est vrai que vu que j'ai winamp sur ma machine, ils ont le droit de connaitre le nom et le path de tous mes mp3 par exemple. Mais bon, ils ne sont pas clair la dessus et on pourrait au moins être prévenu que tous les fichiers, y compris nos fichiers personnels, vont être listés.

Pour la suite du texte, ils ne disent pas que chaque logiciel doit passer au travers de ESM. ESM surveille en fait ce qu'il se passe et dès qu'un soft se lance, il le détecte et le log. Après, j'imagine qu'il est possible de créer des règles pour demander à ESM d'empêcher certains logiciels de se lancer ou même de s'installer.

Concernant Skype, ce qui est étonnant et c'est là que l'on se comprend mal peut être, c'est que :
- ESM est complêtement désactivé. Si je lance où que j'installe un logiciel sur ma machine, je n'ai aucune trace de ESM dans mes log de outpost ou dans mes processus et services.
- Skype était déjà installé avant ESM et c'est seulement quand il tente de se connecter à mon profil sur un serveur de Skype pour que je puisse m'en servir que outpost détecte EMINVCLI.EXE.

Partant du constat que :
- EMINVCLI.EXE est déscativé, il n'y a plus de service ni de processus actif qui y est lié si je vérifie au même moment que outpost le détecte
- Je peux changer le nom de EMINVCLI.EXE ou même le supprimer au même moment que outpost le détecte, preuve qu'il ne fonctionne pas (j'imagine)
- EMINVCLI.EXE n'apparait que pour cette histoire de connexion de skype et jamais à un autre moment pour aucun autre soft
- Les adresses IP auxquelles veut se connecter EMINVCLI.EXE correspondraient très certainement à celles des serveurs de skype - - Dans la logique de ESM, il devrait tenter de se connecter à mon service informatique et toujours à la même IP ou au moins au même domaine (réseau de mon entreprise) et là, ce n'est pas du tout le cas (IP en suisse, en belgique, etc .. )
- Skype n'arrive plus à se connecter depuis que j'ai demandé à outpost de bloquer tout exe de ESM

Je me pose la question : pourquoi Outpost détecte ce processus fantome. Cela serait comme si skype voulait se connecter et que Outpost, pour une raison X , interprêtait skype.exe en EMINVCLI.EXE et le bloquait. Donc comment Outpost pourrait-il confondre ces deux processus, surtout si l'un des deux est innactif ?

Là je me rends compte, que je pourrais peut être changer le titre du topic car en fait, ce serait plus de outpost qu'il s'agit et se son nterction avec skype ! Si il confond ces deux processus, pourquoi est-ce qu'il ne pourrait pas en confondre d'autres ?

Bye

Alex
xla99
 
Messages: 32
Inscription: 19 Mai 2004, 15:45

Messagede Jim Rakoto » 11 Oct 2006, 20:01

Re


Mais toutes les connexions transitent par un serveur réseau qui est surveillé et géré par Express Software Manager Professional®
http://jobsnetwork.siia.net/piracy/audit/express.asp

Il y a 5 composants installés dont Microsoft Internet Information Services (IIS)

Un lien pour comprendre
http://www.prosygma.com/iishelp/iis/htm ... iwltop.htm

Et quelles sont les fonctionnalités de IIS ?
http://www.prosygma.com/iishelp/iis/htm ... ifeats.htm

Skype utilise des ports spécifiques et donc il doit passer par EMINVCLI.EXE

La preuve, s'il est bloqué, Skype est bloqué.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede xla99 » 11 Oct 2006, 21:10

Merci pour tout ces éclaircissements. Maintenant je comprends mieux.

A+

Alex
xla99
 
Messages: 32
Inscription: 19 Mai 2004, 15:45


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités