McAfee ha bloccato una connessione da un determinato indirizzo IP (ho trovato l'indirizzo IP da Hong Kong). Dovrei essere preoccupato? McAfee dice che il programma è "SISTEMA". Inoltre, se dovessi preoccuparmi, cosa potrei fare al riguardo?
Ci sono diversi strumenti in [Sysinternals Suite] che possono aiutarti a capire quale programma sta effettuando la connessione. Il programma TCPView potrebbe mostrarti la connessione tentata, ma, a quanto ho capito, è fondamentalmente solo una GUI su netstat, quindi potresti perdere la connessione.
Lo strumento Process Monitor (ProcMon) acquisirà molti diversi tipi di eventi riguardanti le connessioni di rete, il file system e il registro (e molto altro). Questa pagina contiene dettagli su come utilizzare ProcMon per tracciare le connessioni di rete al processo responsabile.
Inoltre, puoi usare il nuovo strumento sysmon. Questa pagina ha alcuni dettagli su come configurare e utilizzare sysmon.
Una volta determinato il processo che sta inviando la connessione, è possibile utilizzare Process Explorer per inviare il programma a Total virus. Virus Total eseguirà la scansione del campione su alcune dozzine di prodotti AV. Un non-accertamento di una firma dannosa non significa necessariamente che sia benigno, ma è un buon inizio. Avvia procexp.exe come amministratore, individua il processo tramite il suo PID e fai clic con il pulsante destro del mouse per selezionare "Verifica virus totale".
Usando un programma come wireshark, potresti essere in grado di determinare che cosa sta tentando di inviare il programma. Se McAfee sta bloccando la connessione, allora nulla può essere inviato perché la connessione è bloccata. Tuttavia, se è possibile determinare quale voce DNS viene utilizzata (se ne viene utilizzata una), è possibile modificare il file hosts al tuo host locale. È quindi possibile impostare un server web temporaneo, (mi piace usare python python -m SimpleHTTPServer 80 ) per consentire la connessione da stabilire.
Se non riesci a rintracciare la connessione di rete, segui gli approcci tradizionali per determinare se il tuo computer è stato infettato da malware. questo post ha molti aree da investigare. Inoltre, puoi utilizzare strumenti come la volatilità per indagare sulla memoria del tuo computer. La volatilità può essere particolarmente utile se un rootkit è stato utilizzato per nascondere i processi.
Leggi altre domande sui tag ip