explorer.exe saliente (conexiones TCP inexplicables)

Navega tus respuestas
0

Por lo tanto, ya he deshabilitado el descubrimiento de SSDP en los servicios de Windows.

Tampoco estoy realizando ninguna búsqueda. También tengo la indexación de archivos deshabilitada en mi sistema.

Noté una cantidad de conexiones salientes provenientes de explorer.exe, sentí que no había razón para eso, así que bloqueé todas las conexiones salientes usando el firewall de Comodo.

Ahora, después de un par de horas, hice una revisión rápida del registro de Comodo y me sorprendí al ver los efectos de ese bloque:

  1. ~ 10 intentos de conexiones salientes se bloquean cada hora.
  2. Estos intentos ocurren en "bloques" (3-4 a la vez)
  3. Los intentos ocurren como un reloj en intervalos divisibles por 5 (x: 46, x: 16, x: 31, x: 46, x: 51)
  4. CADA conexión de salida es a una dirección IP remota única.
  5. CADA conexión de salida se realizó a través de un puerto de origen único en mi sistema.
  6. El puerto de destino para cada intento fue el puerto 80 (con una excepción que fue el puerto 443)

Tal vez sea paranoico, pero esto parece muy, muy sospechoso.

He realizado escaneos con Windows Defender +, Spybot S & D, y ClamAV y todos devolvieron un sistema limpio.

Dicho esto, lo que no entiendo, definitivamente puede lastimarme.

¿Alguna idea sobre qué está intentando iniciar esta conexión?

Gracias.

    
pregunta JRad the Bad 15.03.2015 - 20:22
fuente

2 respuestas

-1

ejecute un netstat -a -b -n en la máquina local y analice el informe para las IP y los Id. de proceso correspondientes

    
respondido por el Adib N 08.09.2017 - 14:24
fuente
-1

Debe identificar el servidor C2 (Comando y Control) y averiguar qué tipo de malware es. Para hacerlo, desactive el bloqueo del cortafuegos de Comodo y abra una sesión de powershell de administrador y escriba 

netstat -anb

Después de eso, debería ver el servidor C2 con el que está intentando ponerse en contacto con explorer.exe. La mayoría de las veces se puede saber qué tipo de malware es solo examinando el tráfico con Wireshark o algo así.

Una vez que haya determinado el malware y C2, puede iniciar un contraataque. Puede denunciar el abuso, pero muchos servidores C2 están alojados en hosts "a prueba de balas", por lo que es posible que deba tomar el asunto en sus propias manos. Muchas botnets contienen vulnerabilidades que pueden ser explotadas para obtener el control del servidor C2.

    
respondido por el Daniel Grover 07.11.2017 - 16:22
fuente

Lea otras preguntas en las etiquetas

¿Es segura mi cuenta en línea en una empresa financiera? Vulnerabilidad de Shellshock para PC dentro de LAN