explorer.exe in uscita (connessioni TCP inspiegabili)

0

Quindi ho già disabilitato la ricerca SSDP in Servizi Windows.

Inoltre non sto conducendo ricerche. Ho anche l'indicizzazione dei file disabilitata sul mio sistema.

Ho notato un certo numero di connessioni in uscita provenienti da explorer.exe, ho sentito che non c'era alcun motivo per questo, quindi ho bloccato tutte le connessioni in uscita usando il firewall Comodo.

Ora, dopo un paio d'ore, ho fatto un rapido controllo sul registro di Comodo e sono rimasto sorpreso nel vedere gli effetti di quel blocco:

  1. ~ 10 tentativi di connessione in uscita vengono bloccati ogni ora.
  2. Questi tentativi si verificano in "blocchi" (3-4 alla volta)
  3. I tentativi si verificano come un orologio ad intervalli divisibili per 5 (x: 46, x: 16, x: 31, x: 46, x: 51)
  4. OGNI connessione in uscita è indirizzata a un indirizzo IP remoto univoco.
  5. OGNI connessione in uscita è avvenuta attraverso una porta sorgente univoca sul mio sistema.
  6. La porta di destinazione per ogni tentativo era la porta 80 (con un'eccezione alla porta 443)

Quindi forse sono paranoico, ma questo sembra molto, molto sospetto.

Ho eseguito scansioni con Windows Defender +, Spybot S & D e ClamAV e tutti hanno restituito un sistema pulito.

Detto questo, ciò che non capisco, può sicuramente ferirmi.

Qualche idea su cosa sta provando ad avviare questa connessione?

Grazie.

    
posta JRad the Bad 15.03.2015 - 20:22
fonte

2 risposte

-1

eseguire un netstat -a -b -n sul computer locale e analizzare il report per gli IP e gli ID di processo corrispondenti

    
risposta data 08.09.2017 - 14:24
fonte
-1

Devi identificare il server C2 (Command and Control) e scoprire che tipo di malware è. Per fare ciò, disabilitare il blocco del firewall Comodo e aprire una sessione di PowerShell dell'amministratore e digitare

netstat -anb

Dopodiché dovresti vedere il server C2 che explorer.exe sta cercando di contattare. Un sacco di volte puoi dire che malware è solo esaminando il traffico con Wireshark o qualcosa del genere.

Dopo aver determinato il malware e C2, è possibile avviare un contrattacco. È possibile segnalare un abuso, ma molti server C2 sono ospitati su host "a prova di proiettile", quindi potrebbe essere necessario prendere le cose nelle proprie mani. Molte botnet contengono vulnerabilità che possono essere sfruttate per ottenere il controllo del server C2.

    
risposta data 07.11.2017 - 16:22
fonte

Leggi altre domande sui tag