Nota: Por favor, não modifique ou feche. Eu não sou um usuário de PC estúpido pedindo para corrigir o meu problema no PC. Estou intrigado e estou tendo uma visão técnica profunda do que está acontecendo.
Eu encontrei uma máquina com Windows XP que está enviando tráfego p2p indesejado.
Eu fiz um comando 'netstat -b' e o explorer.exe está enviando o tráfego. Quando eu mato este processo o tráfego pára e obviamente o Windows Explorer morre.
Aqui está o cabeçalho do fluxo do dump do Wireshark (x.x.x.x) é o IP das máquinas.
GNUTELLA CONNECT/0.6
Listen-IP: x.x.x.x:8059
Remote-IP: 76.164.224.103
User-Agent: LimeWire/5.3.6
X-Requeries: false
X-Ultrapeer: True
X-Degree: 32
X-Query-Routing: 0.1
X-Ultrapeer-Query-Routing: 0.1
X-Max-TTL: 3
X-Dynamic-Querying: 0.1
X-Locale-Pref: en
GGEP: 0.5
Bye-Packet: 0.1
GNUTELLA/0.6 200 OK
Pong-Caching: 0.1
X-Ultrapeer-Needed: false
Accept-Encoding: deflate
X-Requeries: false
X-Locale-Pref: en
X-Guess: 0.1
X-Max-TTL: 3
Vendor-Message: 0.2
X-Ultrapeer-Query-Routing: 0.1
X-Query-Routing: 0.1
Listen-IP: 76.164.224.103:15649
X-Ext-Probes: 0.1
Remote-IP: x.x.x.x
GGEP: 0.5
X-Dynamic-Querying: 0.1
X-Degree: 32
User-Agent: LimeWire/4.18.7
X-Ultrapeer: True
X-Try-Ultrapeers: 121.54.32.36:3279,173.19.233.80:3714,65.182.97.15:5807,115.147.231.81:9751,72.134.30.181:15810,71.59.97.180:24295,74.76.84.250:25497,96.234.62.221:32344,69.44.246.38:42254,98.199.75.23:51230
GNUTELLA/0.6 200 OK
Assim, parece que o malware se conectou ao explorer.exe e se escondeu bem, já que o Norton Scan não detectou nada.
Procurei no firewall do Windows e ele não deveria deixar passar esse tráfego.
Eu dei uma olhada nas mensagens que o explorer.exe está enviando no Spy ++ e as únicas que eu vejo são conexões de soquete, etc ...
Minha pergunta é o que posso fazer para investigar isso mais profundamente? O que o malware alcança enviando tráfego p2p?
Sei que para consertar o problema, a maneira mais fácil é reinstalar o Windows, mas quero chegar ao fim primeiro, apenas por interesse.
Editar:
Analisei o Deoendency Walker e o Process Explorer.
Ambas as ótimas ferramentas. Aqui está uma imagem das conexões TCP para explorer.exe no Process Explorer:
Provavelmente, o trojan está usando a rede p2p como um canal de comando e controle. como o p2p tem tudo a ver com distribuição, não há um único ponto que possa ser desligado para derrubar o botnet.
o que você está vendo é provavelmente o seu bot de estimação procurando por pedidos.
uma ideia para procurar mais é executar o walker de dependência no explore.exe para ver quais dlls ele compila, uma delas pode seja o bot.
O malware provavelmente está ligado ao explorer.exe.
Tente usar o Processexplorer da Sysinternals para saber mais: link
O Sysinternals também possui um rootkitscanner que localiza arquivos ocultos / entradas de registro.
Eu tentei exterminar o malware e acho que foi bem-sucedido.
Por favor, procure por C:\Windows\halperf10.exe ou qualquer arquivo .exe com um carimbo de tempo comparativamente novo semelhante a ele.