Se desarrolló una serie de eventos bastante interesantes. He descargado una imagen de Windows recién instalada de Microsoft Dreamspark / Imagine. menos 3 semanas de antigüedad con alguna política de restricción de seguridad, gpos, etc. De todos modos, comencé a notar que parecía que Cortana y MS Calculator parecían usar un poco de tráfico TCP. ¿Qué cortana era obvia pero la calculadora?
Así que exploré la máquina con Windows Defender, Maleware Bytes Anti Exploit y Rootkit and Viper Scan ... Nada en la calculadora. Me gustaría ver la calculadora generada como una tarea de programación también.
Desatándome. Lo escanee con YARA, tenía la firma de usar HIjack Network, sockets UDP y TCP, Keylogger, Capturas de pantalla, un Dropper de audio, firmas de escalamiento de Privalage, etc., como sospechaba.
Desde entonces he eliminado todas las aplicaciones de Windows. (que también es un requisito de DOD STIG)
¿Alguien ha visto este comportamiento? ¿Algún pensamiento o explicación? ¿Por qué Malware Bytes y Microsoft no detectaron esto como un virus? o explotar? ¿Casi estoy asumiendo que este es un comportamiento normal?
