Ich habe den Verkehr in meinem Heimnetzwerk kürzlich intensiv überwacht (mithilfe von Netflow).
Heute habe ich ein seltsames Multicast-Signal von einem Windows 11-Laptop bemerkt (es war eingeschaltet, aber unbeaufsichtigt). Auf diesem Laptop habe ich AVG und Malwarebytes installiert.
Aufgrund der Netflow-Berichtsintervallzeit werden diese Einträge alle innerhalb von 10 Sekunden angezeigt.
| Multicast-Adresse | Quellport | Zielhafen | Paket-Bytegröße |
|---|---|---|---|
| 192.168.1.255 | 57716 | 3289 | 252 |
| 192.168.1.255 | 57708 | 22222 | 336 |
| 192.168.1.255 | 57700 | 22222 | 336 |
| 255.255.255.255 | 10004 | 10004 | 666 |
Ich habe die Anschlüsse untersucht, aber nichts Erklärendes gefunden – 3289 scheint für bestimmte Epson-Geräte verwendet zu werden. Ich habe nur einen, aber ich schließe ihn nur direkt über USB an und er wäre zu diesem Zeitpunkt nicht angeschlossen gewesen.
Die Nummer 22222 wird anscheinend von einigen Trojanern verwendet, aber ich verstehe nicht, warum ein Trojaner ein Multicast an diesen Port ins lokale Netzwerk senden würde.
Und auch die 10004 gibt nicht wirklich viele Informationen preis.
Ich bin hier noch relativ neu, also entschuldigen Sie, wenn ich etwas Offensichtliches übersehe.
Zu diesem Zeitpunkt hatte ich auf meinem Rechner keinen Port-Logger laufen, aber seit gestern Abend habe ich ihn eingerichtet, um zu versuchen, das Problem erneut zu erkennen und die ausführbare Datei aufzuspüren, die die Anfrage ausgelöst hat. Bisher ohne Erfolg.
Danke für deinen Beitrag!
Antwort1
Port 3289 wird für das ENPC-Protokoll verwendet, das hauptsächlich dazu dient, den Status abzurufen und Einstellungen für das Modul oder den Drucker vorzunehmen. Es scheint zumindest von den Epson-Druckern verwendet zu werden (Verknüpfung).
Hafen 22222 kann von vielen Produkten, aber auch von mehreren Trojanern verwendet werden. Die legitimen Benutzer sind der Redgate-Lizenzclient und EasyEngine. Wenn Sie diese nicht installiert haben, bedeutet das nicht automatisch, dass Ihr Computer infiziert ist.
Port 10004 wird nachweislich vom EMC Replication Manager und einigen BitTorrent-Clients verwendet.
Bitte beachten Sie, dass die obigen Informationen unvollständig sind und dass jedes Produkt entscheiden kann, jeden beliebigen Port zu verwenden, ohne Konventionen und Standards zu beachten. Der erste Schritt besteht darin, mehr Tracking-Software zu verwenden und nach Programmen zu suchen, die diese Ports überwachen.
Antwort2
Ich konnte dieses Verhalten schließlich mit laufenden cPorts reproduzieren – es scheint bei der Benutzeranmeldung häufig (aber nicht immer) und dann ein bisschen zufällig aufzutreten (manchmal etwa einmal pro Stunde, aber es kann auch lange Zeit vergehen, ohne aufzutreten).
Die UDP-Ports sind an dasHost.exe gebunden. Und diese Ports scheinen alle gleichzeitig gesendet zu werden. Es scheint (zumindest teilweise) von „Universal Print“ zu kommen. Dies ist der einzige Eintrag in meiner Windows-Ereignisanzeige, der fast genau dem Zeitpunkt dieser UDP-Übertragungen entspricht (ohne dass andere Ereignisse auch nur annähernd übereinstimmen).
Begleitend zu diesen Sendungen gibt es immer zwei Informationsveranstaltungen:
Die Beschreibung für Ereignis-ID 1 aus der Quelle Universal Print kann nicht gefunden werden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf Ihrem lokalen Computer installiert oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Wenn das Ereignis auf einem anderen Computer entstand, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen waren der Veranstaltung beigefügt:
Das Gerät ist weder AAD/Domäne noch Arbeitsplatz beigetreten. mcpmanagementservice.dll
Die länderspezifische Ressource für die gewünschte Nachricht ist nicht vorhanden
und dann:
Die Beschreibung für Ereignis-ID 1 aus der Quelle Universal Print kann nicht gefunden werden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf Ihrem lokalen Computer installiert oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Wenn das Ereignis auf einem anderen Computer entstand, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen waren der Veranstaltung beigefügt:
Initialisierung erfolgreich. Enabled=false, CloudPrintSolution=Unbekannt, DiscoveryEndpoint=, OAuthAuthority=, OAuthClientId=, DiscoveryResourceId=, PrintResourceId= mcpmanagementservice.dll
Die länderspezifische Ressource für die gewünschte Nachricht ist nicht vorhanden
Ich kann die 3289-Übertragung aus dieser Perspektive verstehen, da es sich um einen Epson-Port handelt. Bei den anderen bin ich mir noch nicht sicher, aber ich fühle mich etwas besser, wenn ich den Ursprung kenne. Ich werde wahrscheinlich trotzdem versuchen, tiefer zu graben, um weitere Informationen zu erhalten.