Para Windows, veja este pergunta de estouro de pilha . Resumo do TLDR: netstat -b lista todas as portas com os nomes dos processos.
Para o Linux, netstat -tulpn fornece todas as portas de escuta e netstat -tupn fornece todas as portas de saída e os PIDs associados. Execute esses comandos como root. Veja vídeo de demonstração .
Você só precisa descobrir de qual porta seu malware se comunica. No Wireshark, esta é a parte em que diz "adobeserver-2" ou "adobeserver-1" na sua captura de pacotes. O Wireshark exibe esses nomes em vez dos números de porta reais para dar aos usuários uma ideia do que a porta é normalmente usada. Para obter os nomes das portas reais, desative este recurso conforme descrito no site Wireshark Ask .
Como alternativa, consulte Como determinar o que o programa envia o pacote gravado no Wireshark? onde é recomendado usar um programa diferente para esta tarefa.