Conjectura: Malware ou botnet está em contato com um servidor de comando / controle.
Outras possibilidades: A funcionalidade não documentada no Windows está envolvida em algum tipo de comportamento. Provavelmente você pode parar as conexões de saída para a porta 4 com um firewall, mas sugiro que você use um firewall externo para configurar o bloco.
Como nos comentários acima: Você pode aprender muito lendo os dados usando o wireshark.