Ao inspecionar o relatório de evento do Sysmon É normal ver as conexões abertas com a porta Discovery Web Dynamic Discovery (WS-Discovery) por aplicativos como Regedit, cmd.exe, iexplore, tasklist e muitos outros.
Estou suspeitando que algo é injetado na memória desses processos que causa essa conexão. Estou errado?