En primer lugar, doy la bienvenida a un mejor título para esta pregunta. Admito que soy un novato de seguridad.
Estoy tratando de determinar si tengo malware y qué puede estar haciendo ese malware. Al usar Wireshark, veo varias transmisiones sospechosas, incluidas las direcciones que terminan en .ln y .ch que envían todos los datos cifrados. Cuando ejecuto whois
, siempre se agota el tiempo de espera, a menos que especifique explícitamente el servidor de whois que se va a usar (esto me parece sospechoso), por lo que he recurrido a usar un cliente en línea en enlace .
Una secuencia que está presente de manera más consistente va a lga15s42-in-f21.1e100.net, cada pocos segundos, y se envía a través de TLSv1.2. Los paquetes suelen ser de tamaños fijos (60, 107, 125) pero a veces son más grandes y no se repiten.
~ La entrada de whois para 1e100.net es particularmente sospechosa para mí. ~ Rasca eso. Tuve una entrada inválida al escribir mal el dominio. La entrada real es para Google, Inc., lo que reduce considerablemente la sospecha de este tráfico.
Pregunta modificada, ya que el tráfico parece ir a Google: ¿por qué Google envía esta información a través de TLS en un puerto no estándar? ¿Es esa básicamente la forma en que deberían enviar consultas de fondo? Es molesto porque para un principiante en seguridad (o para el caso, no para un novato), ese tráfico agrega ruido. Estaría más contento si esas consultas se trataran de texto sin cifrar en protocolos estándar, ya que estoy tratando de averiguar si he sido rooteado.
ps. Debería haberlo mencionado, la computadora en cuestión es una MacBook Air Retina Pro, que ejecuta OS X 10.9.3.