Si è svolta una serie piuttosto interessante di eventi. Avevo una nuova immagine di Windows scaricata da Microsoft Dreamspark / Imagine. meno di 3 settimane con qualche criterio di restrizione di sicurezza, gpos ecc. Comunque ho iniziato a notare che ho visto che Cortana e MS Calculator sembravano utilizzare un certo traffico TCP. Quale Cortana era ovvio ma la calcolatrice?
Quindi ho scansionato la macchina con Windows Defender, Maleware Bytes Anti Exploit e Rootkit e una Viper Scan .... Niente sul calcolatore. Vedrei la calcolatrice generata anche come attività di pianificazione.
Meritandomi. L'ho scansionato con YARA che aveva la firma dell'utilizzo di HIjack Network, socket UDP e TCP, Keylogger, Screenshot, un Dropper audio, firme di scalata di Privalage ecc. Come sospettavo.
Da allora ho cancellato tutte le app di Windows. (che è anche il requisito di DOD STIG)
Qualcuno ha visto questo comportamento? Qualche idea o spiegazione? Perché i byte malware e Microsoft non sono riusciti a rilevare questo come virus? o sfruttare? Sto quasi dando per scontato che si tratti di un comportamento normale?
