Visitando http://66.152.109.110
nos dá um site Road Runner
.
Ao fazer um google para Road Runner 66.152.109.110
nos fornece um nome de domínio , que eu pesquisei:
nslookup dnssearch.rr.com
Name: twc.cfg.srchdeliv.com
Addresses: 184.106.15.239
66.152.109.110
204.232.137.207
Aliases: dnssearch.rr.com
Agora vamos fazer alguns whois para ver quem são esses caras:
whois rr.com
Domain Name: rr.com
Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com
Administrative Contact:
Domain Name Administrator
Time Warner Cable Inc.
60 Columbus Circle
New York NY 10023
US
[email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
Domain Name Administrator
Time Warner Cable Inc.
7910 Crescent Executive Drive
Charlotte NC 28217
US
[email protected] +1.8777772263 Fax: +1.7047311180
Parece que o Markmonitor protege uma marca , o que indica menos provável um IP malicioso e malicioso.
Mas também há srchdeliv.com
, vamos ver o que isso diz:
whois srchdeliv.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
Created on: 19-Mar-08
Expires on: 19-Mar-14
Last Updated on: 25-Jul-10
Administrative Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Novamente uma marca sendo protegida.
Fazer um IP reverso dá 66-152-109-110.tvc-ip.com
de fato, vamos fazer outro:
whois tvc-ip.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
Created on: 17-Dec-03
Expires on: 17-Dec-13
Last Updated on: 05-Oct-11
Administrative Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Observe alguma coisa? Exatamente, coberto pelo mesmo registrante que pode vincular todos os três.
O que estamos perdendo? Certo, visitando os nomes de domínio para ver o que eles hospedam.
Olink (Road Runner) parece ser um site completamente seguro, que está associado a Time Warner Cable como indicado na parte inferior (Talvez relacionado a TVC?), que também parece ser um site completamente seguro.
Atualização pequena:
Descobri que rr.com
também serve como o manipulador de e-mail para o domínio tt.
.
Vá para esta ferramenta online dig
e digite tt.
e selecione MX
para o consulta e clique em Look it up
.
tt. 86400 IN MX 0 66-27-54-138.san.rr.com.
tt. 86400 IN MX 10 66-27-54-142.san.rr.com.
Isso torna o rr.com
tão legítimo quanto possível.
Mas por que o taskmgr.exe tenta se conectar a ele?
Você se lembra de visitar o Road Runner ou a Time Warner Cable, ou você é um usuário de seus serviços?
Não vejo outra possibilidade além disso, dado que esses últimos sites parecem seguros . E, claramente, o IP é um DNS para sua funcionalidade de pesquisa de DNS. Pode ser possível, porém, que eles tenham uma infecção e se espalhem para você; mas eu não estaria tão certo no começo ...
Você pode nos enviar a saída de ipconfig /all
, talvez você tenha definido como seu DNS?
Se você não estiver usando nenhum desses serviços, é provável que o malware esteja usando esse site para resolver problemas; ou seja, ignorar o seu arquivo de hosts / configurações de DNS próprias.