20/02/02 12:09:33.11 ODB6D/Ly.net
昨夜TCPMonitorで不審なUDP通信を見つけたのでその通信の根源を特定しようとしたのですが、
自分の力では特定できず、トロイやウイルスの類なのかも解らないため力を貸してください
・昨夜発見したそのUDP通信
URLリンク(i.imgur.com)
192.168.1.7番のPCを立ち上げた瞬間からこの「hosted~」に対してUDP通信が始まります
そこで通信をしているプロセスを特定すべくnetstat -anobを管理者権限で実行しましたが、
TCPMonitorで観測したポートと一致するポートが出てこない為、特定できませんでした
念のためnetstat -anobで近しいUDPポートを利用していた「svchost」のディレクトリを全て調べましたが
全て正規の場所であり、svchostが利用しているDLLを調べるツールも使いましたが、全て正規のDLLが利用されていました
また、UDP通信のパケットをキャプチャしてデコードもしてみましたが(URLリンク(i.imgur.com))、
「=」や「&」があるのでパラメータの類だとは思うんですが、特定できそうな文字列は見当たらなかったです
文字数制限につき続く