Nach dem Update einer Installierten Software, kam plötzlich der Windows-Defender um die Ecke und warf mir dieses Popup an den Kopf.
Bevor ich hier auf “Informationen senden” geklickt habe, warf ich schnell noch Wireshark im Hintergrund an.
Eines Vorweg… Microsoft hat nichts mitgeschickt, was die Maschine direkt identifizieren kann. Jedenfalls nichts, was man direkt sehen kann.
Das Problem an der Analyse ist, dass die als Antwort gesendeten Daten per SSL und verschlüsselt zurück kommen. Da kann ich halt nichts großartig rausfiltern.
Hier kurz mal der GET-Request, der rausgeht:
/StageOne/Generic/AVSubmit/WinDefend/1_1_3903_0/unspecified/1_43_537_0/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.htm?LCID=1031&OS=6.0.6001.2.00010300.1.0.3.18000&VID=Micro-Star%20Int’l%20Co.,Ltd.
Die hier enthaltenen Daten sind das Gebietsschema Deutsch (LCID), der Mainboardhersteller Microstar/MSI (VID) und verwendete OS (Vista) mit einem sehr detailierten Versionsstring.
Der xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx Abschnitt in der URL war vorher eine GUID, welche ich bewußt entfernt habe. 
Die Antwort kam nach dem GET-Request zuerst als Cleartext und danach folgten dann per SSL Übertragene Datenpakete.
HTTP/1.1
User-Agent: MSDW
Host: watson.microsoft.com
Connection: Keep-Alive
HTTP/1.1 200 OK
Content-Length: 45
Content-Type: text/html
Last-Modified: Sun, 21 Sep 2008 22:12:35 GMT
Accept-Ranges: bytes
ETag: "bfa9db26371cc91:13b9"
X-Powered-By: ASP.NET
Date: Mon, 22 Sep 2008 21:49:07 GMT
Bucket=336285644
BucketTable=5
Response=1
Bevor sich jemand wundert, wofür ETag steht… Guggst du hier.
Die per SSL übertragenen Datenpakete kamen übrigens von hier:
spynet2.microsoft.com
Brückenbauer
Das Jungfrauenspiel
WeeWar
TheUndeadable says:
http://www.vistablog.at/stories/31417/
Dein Programm ist nicht das einzige…
29.09.2008, 20:31