Bem, você pode descobrir isso desta maneira:
- Descubra a porta de destino que está visitando.
- Google a porta e descubra as informações relacionadas, como protocolo, programa.
- Se isso não resolver seu problema, analise os pacotes detalhadamente.
Acabei de descobrir, usando o TCPView, que um dos meus svchost.exe tinha uma conexão http em "CLOSE_WAIT" para um endereço IP estranho, embora nenhum outro programa visível estivesse em execução.
Com a ajuda do Process Explorer, descobri que esse svchost estava usando o serviço do Windows WebClient.
Eu estou querendo saber como posso descobrir qual programa usou o WebClient para se conectar a esse IP, a fim de determinar se é um malware.
Bem, você pode descobrir isso desta maneira:
O Webclient é um serviço da Microsoft que permite que o Windows acesse arquivos baseados na Web usando uma interface do tipo Explorer. Não é necessário, a menos que você precise de acesso semelhante ao WebDAV para sites remotos. Não há realmente nenhuma razão para suspeitar que é malware. Você já pensou em desabilitar o serviço? Aqui estão alguns detalhes úteis .
Tags networking windows services