Dell Network Assistant

mon arp
  • 最近のDellWindows機に標準で搭載されている.デフォルトで起動するネットワーク接続環境を調査設定してくれるソフトウエアらしいが,同時にポートスキャナーでもある.
  • UDP 161(SNMP), TCP 139,TCP 445, UDP137,138 UDP 10421, UDP 10426, をほぼこの順番でスキャンする.TCP 80をスキャンする場合もあるらしい.
    • TCP 80のスキャンはルータなどのブラウザ設定用ポートを探している(?)
    • スキャンの速度はそれほど急激ではなく,秒1,2回程度に押えられているらしい.一つの対象をスキャンするのに40秒ほどかけている.SNMP接続の場合ソースポートは1050,それ以外は5000固定になる(?)
    • SNMPの参照内容はGetRequest .1.3.6.1.2.1.1.5.0 (ホスト名:SysName) コミュニティ名はpublic.
    • 10421(SingleClick Discovery Protocol?),10426(SingleClick ICC?)がなにをするものなのかはわからないが,Network Assistant同士が何らかの情報交換をしているらしい.
    • スキャン対象を選ぶ方法やタイミングはウィルスバスター2006のようにARPなど何らかのパケットを受信したことに関係しているらしい.これとは別に全く使用されていないアドレスにもアクセスに行っていて,同一LANの若い番号から順番にスキャンするらしい.
    • CASIO製プリンタには誤動作を生じさせる場合があるらしい
  • ブロードキャストアドレス255.255.255.255のUDPポート10421あてにもパケットが出続けている.パケット内にはServicePack2, MSHOME, Administrator, Guest, HelpAssistant, SUPPORT388945a0video, Broadcom440, Intel(R)PROWireless, IntegratedController, SHRFAX, WindowsFirewallなどの文字列が見え,自分のネットワークカードやユーザー名などの情報を発信している.
  • 頻繁にisp.singleclicksystems.com, dell-alive.singleclicksystems.com, dell-downloads.singleclicksystems.com, updates.singleclicksystems.com などのWebサーバーにアクセスしている.自分のISP情報を得ようとしたり,IPアドレスを通知したりしているらしい(?)
    • isp.singleclicksystems.com(38.100.162.112)への発信内容.アクセスすると地理上の位置やISP組織を返答するらしい.
GET /isp_info/get_isp_info.php
HTTP/1.1
Accept: */*
User-Agent: EZI_HTTP_ISP_REQUEST
Host: isp.singleclicksystems.com
Connection: Keep-Alive
Cache-Control: no-cache
Authorization: Negotiate XXXXXXX(Base64文字列?)
    • You are not authorized to view this pageというエラーページが返ってくる場合と,次のような返答が帰ってくる場合がある.Negotiateの後にある文字列を変化させながら2回接続エラーを起すと3回目には返答があるらしい.返答には発信者のIPアドレスが含まれているが,NATによってどのような外部アドレスに変換されているかを答えている(?)
HTTP/1.1 200 OK
Connection: close
Date: Tue, 17 Oct 2006 00:55:58 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-Powered-By: PHP/5.1.6
Content-type: text/html

XXX.XXX.XXX.XXX(発信者のNAT変換後IPアドレス?)
Japan
tokyo
imported inetnum object for XXXXXX(組織名と思われる略号)
    • dell-alive.singleclicksystems.com(38.100.162.110)への発信内容と返答.自分が活動中であることを通知に行っているためか(?)こちらはエラーにならないらしい.起動中は3秒に1度アクセスに行き10分程度休むというパターンを繰り返す(?).
GET /inet_check.php HTTP/1.1
Accept: */*
User-Agent: EZI_HTTP_INET_REQUEST
Host: dell-alive.singleclicksystems.com
Connection: Keep-Alive
Cache-Control: no-cache

HTTP/1.1 200 OK
Connection: close
Date: Tue, 17 Oct 2006 00:56:00 GMT
Server: Microsoft-IIS/6.0 MicrosoftOffice WebServer: 5.0_Pub
X-Powered-By: ASP.NET
X-Powered-By: PHP/5.1.4
Content-type: text/html
    • updates.singleclicksystems.com(38.100.162.111)への発信内容と返答.この発信数は少ない.
GET /updates/hnm/dell/v3.0/version.txt HTTP/1.1
Accept: */*
User-Agent: EZI_HTTP_AGENT
Host: updates.singleclicksystems.com
Connection: Keep-AliveCache-Control: no-cache

HTTP/1.1 200 OK
Content-Length: 7
Content-Type: text/plain
Last-Modified: Tue, 01 Aug 2006 05:49:40 GMT
Accept-Ranges: bytes
ETag: "202fd6472eb5c61:500"
Server: Microsoft-IIS/6.0X-Powered-By: ASP.NET
Date: Tue, 17 Oct 2006 01:07:44 GMT

3.0.0.0
    • SingleClick Systems社はワイヤレス関係の製品を作っているらしい.Dell Network AssistantはSingleClickSystemsのHomeNetManagerをベースにしている(?)のか,その機能やスナップショットはほとんど同じに見える.
    • 実行ファイルはezi-hnm2.exeらしいが,環境によってはこれが暴走しCPU100%状態になることがあるらしい.eziはSingleClick社の製品に良く使われる接頭辞らしい.hnmはHomeNetManager(?) 
[C:\Program Files\Dell Network Assistant\ezi_hnm2.exe]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_comm.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_crypt.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_dev.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_registry.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_dun.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_http.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_ip_hlpr.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_oui.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_snetcfg.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_socket.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_sys32.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_ftp.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_gdi.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_sha.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_update.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_xml.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_upnp.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_wc_wiz.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_wireless.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_wmi.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\ezi_icc.dll]  [SingleClick Systems, 1, 0, 0, 0]
[C:\Program Files\Dell Network Assistant\hnmres2.dll]
    • Guestアカウントは有効にすることを求められる.またネットワーク設定でNetBIOSなどを停止してしまうとエラーを起し起動できなくなるらしい.
    • リンク.
  • 200.200.200.200というアドレスに向けてICMPエコー要求を送ることでtracerouteを行っているらしい.パケットはAAAAA.....でパディングされている.200.200.200.200はブラジルにあることになっているが,経路を調べるためのダミーアドレス(?)


  • Dell Network Assistantによるポートスキャンの様子.ARP発行関係をgraphvizのdotによって有向グラフにし可視化したもの.
    • 左下の紫から多数の赤丸へのエッジがDell Network Assistantによるもので,赤は同一LANに属するが,ネームサーバーに登録されておらず使用されていないアドレス.
    • 右上の赤い逆三角は勝手にローカルアドレスDHCP配布し始めたSONY-VAIO-PCVによるものなのでDell Network Assistantによるものではない.