Wireshark forgalom ellenőrzése

Web, mail, IRC, IM, hálózatok

Sziasztok!

Múlt héten ezt ( 178.255.158.28 ) az IP címet is tartalmazó tartományból UDP protokollon a 53-as portra ADSL kapcsolatnál kaptuk az áldást. Mikrotik van, letiltottam.
Viszont most egy másik helyemen is előkerült és itt már UDP 1235 portra ment és kifele, letiltottam. Erre átváltott 443-ra iletve 80-as portra. A nem vicces, hogy a saját laptopom is csinálja.
Nirsoft oldaláról levettem a cports nevű progit, nem tudja azonosítani a folyamatot.

Itt elérhető egy Wireshark mentés: https://cloud.procinet.hu/public.php?service=files&t=8d4a30566452be90d8…

Megtenné valaki aki valószínű jobban ért hozzá mint én, hogy ránéz mit lát a fentebbi IP címmel kapcsolatban?

Ezt a címet hívogatja http://178.255.158.28/?rnd=20150812105709728 valamint POST metódussal adatot küld ahol a name="CMD" jelenik meg illetve látni PING szót is. Amint WIFI-re váltottam a name mező tartalma SSID lett.

Ez vagy valami Windows nyomor ( Win7 és Win10 biztosan érintett ) vagy valami kis ügyes féreg. Az érintett gépeken Kaspersky, NOD vagy GData van, helytől függően.

  • 1623 megtekintés

( gemnon v | 2015. 08. 12., sze – 12:21 )

A GData telefonál haza :P Legalábbis az első kérésnél, oda tartozó IP-re megy.

( procika v | 2015. 08. 12., sze – 12:39 )

Úgy néz ki meglett. A BeAnyWhere kliens tartja a kapcsolatot a kiszolgálókkal és valószínű véletlen, hogy annak a cégnek a tartományából lettünk leverve.