Ho eseguito un'acquisizione di pacchetti Wireshark sul mio PC Windows di casa, in quanto vi era il sospetto che fossi infetto (anche se non noto nulla di normale e sia Avast che Malwarebytes non rilevano nulla).
Per sicurezza, ho eseguito questa acquisizione durante la notte e ho notato pacchetti provenienti da fonti come Akamai, Amazon e Microsoft (secondo ARIN). Dovrei essere preoccupato? Ecco una schermata di stampa incentrata sul pacchetto dubbio.
Ci sono un gran numero di organizzazioni, motori di ricerca e robot che eseguono regolarmente la scansione di Internet per vedere quali porte sono aperte e quali versioni dei servizi esistono. Un esempio di un sito che fa questo tipo di lavoro è scans.io La maggior parte di questa attività non è dannosa.
Esistono anche strumenti come masscan e Zmap che consente a chiunque di scansionare l'intero spazio IPv4 per una determinata porta / servizio in pochi minuti e si possono vedere esempi dei tipi di dati raccolti in siti come scans.io
Senza ulteriori informazioni sui pacchetti stessi sarebbe molto difficile dirvi se questi fossero di natura dannosa ma molto probabilmente questo è solo il tipico traffico Internet. Detto questo, sarebbe saggio scavare un po 'più a fondo e vedere se questo è correlato all'attività del processo sul tuo sistema e vedere se il tuo sistema, o il software su di esso, non è la fonte di questa attività.
Sebbene sia sempre possibile che ci sia un server Command and Control (C & C) malware su Amazon ec2 o Microsoft cloud è piuttosto improbabile in quanto tali cose sono solitamente ospitate sui cosiddetti "Host Bullet Proof" che ignorano prendere gli ordini. Ciò che è probabile che causi queste richieste sono le applicazioni che hai installato che fanno chiamate api e Windows in cerca di aggiornamenti. Detto questo, molto probabilmente non sei stato infettato da alcun comune malware su larga scala. Questo non vuol dire che non sei infetto da qualcosa che è stato preso di mira in modo specifico, ma se non hai motivo di sospettare che qualcosa del genere sia il caso che probabilmente troverai.
Queste sono connessioni avviate dal tuo computer Windows; nota il pacchetto SYN da 192.168.1.160 a un indirizzo esterno e in che modo la tua macchina invia una richiesta HTTP.
Il pacchetto che hai evidenziato è parte della risposta (503 server non disponibile) alla tua query HTTP. Se fai clic con il pulsante destro del mouse e scegli "Follow TCP Stream", vedrai una ricostruzione della conversazione HTTP in ASCII.
Mi sembrano innocui e probabilmente fanno parte di qualche applicazione (o componente del sistema operativo) che hai installato.