McAfee ha estado bloqueando una conexión desde una determinada dirección IP (encontré que la dirección IP es de Hong Kong). ¿Debería Preocuparme? McAfee dice que el programa es "SISTEMA". Además, si me preocupa, ¿qué podría hacer al respecto?
Hay varias herramientas en [Sysinternals Suite] que pueden ayudarte a entender qué programa está haciendo la conexión. El programa TCPView puede mostrarle el intento de conexión, pero como lo entiendo, es básicamente una GUI en netstat, por lo que podría perder la conexión.
La herramienta de monitoreo de procesos (ProcMon) capturará muchos tipos diferentes de eventos relacionados con las conexiones de red, el sistema de archivos y el registro (y mucho más). Esta página tiene detalles sobre cómo usar ProcMon para rastrear las conexiones de red al proceso responsable.
Además, puede utilizar la nueva herramienta sysmon. Esta página tiene algunos detalles sobre cómo configurar y usar sysmon.
Una vez que determine el proceso que está enviando la conexión, puede usar Process Explorer para enviar el programa a Virus Total. Virus Total escaneará la muestra en unas pocas docenas de productos AV. No encontrar una firma maliciosa no significa necesariamente que sea benigno, pero es un buen comienzo. Inicie procexp.exe
como administrador, localice el proceso a través de su PID y haga clic con el botón derecho para seleccionar "Verificar VirusTotal".
Al utilizar un programa como wireshark, es posible que pueda determinar qué está intentando enviar el programa. Si McAfee está bloqueando la conexión, entonces no se puede enviar nada porque la conexión está bloqueada. Sin embargo, si puede determinar qué entrada de DNS se está utilizando (si se está utilizando alguna), puede editar su archivo de hosts a su host local. Luego puede configurar un servidor web temporal (me gusta usar python -m SimpleHTTPServer 80
de python) para permitir que se establezca la conexión.
Si no puede rastrear la conexión de red, siga los métodos tradicionales para determinar si su computadora está infectada con malware. Este post tiene muchos Áreas a investigar. Además, puedes usar herramientas como la volatilidad para investigar la memoria de tu computadora. La volatilidad puede ser especialmente útil si se ha utilizado un rootkit para ocultar procesos.
Lea otras preguntas en las etiquetas ip