Recientemente he estado monitoreando intensamente el tráfico de mi red doméstica (usando Netflow).
Hoy noté una multidifusión extraña proveniente de una computadora portátil con Windows 11 (se dejó encendida, pero desatendida). Tengo AVG y malwarebytes instalados en esta computadora portátil.
Todas estas entradas aparecen en 10 segundos debido al intervalo de tiempo del informe de netflow.
| Dirección de multidifusión | Puerto de origen | Puerto de destino | Tamaño de bytes del paquete |
|---|---|---|---|
| 192.168.1.255 | 57716 | 3289 | 252 |
| 192.168.1.255 | 57708 | 22222 | 336 |
| 192.168.1.255 | 57700 | 22222 | 336 |
| 255.255.255.255 | 10004 | 10004 | 666 |
Investigué los puertos pero no encuentro nada explicable: parece que 3289 se usa para ciertos dispositivos Epson. Tengo uno solo, pero solo lo conecto directamente por USB y no estaría conectado en ese momento.
El 22222 parece ser utilizado por algunos troyanos, pero no entiendo por qué un troyano haría una multidifusión a este puerto hacia la red local.
Y el 10004 tampoco proporciona mucha información.
Todavía soy un poco nuevo en esto, lo siento si me falta algo obvio.
No tenía un registrador de puertos ejecutándose en la máquina en ese momento, pero lo configuré desde anoche para intentar ver que sucediera nuevamente y rastrear el ejecutable que genera la solicitud. No hubo suerte hasta ahora.
¡Gracias por tu contribución!
Respuesta1
Puerto 3289 se utiliza para el protocolo ENPC que se utiliza principalmente para adquirir el estado y realizar ajustes para el módulo o la impresora. Parece ser utilizado al menos por las impresoras Epson (enlace).
Puerto 22222 Puede ser utilizado por muchos productos, pero también por varios troyanos. Los usuarios legítimos son el cliente de licencia Redgate y EasyEngine. Si no los tiene instalados, no significa automáticamente que su computadora esté infectada.
Puerto 10004 Se sabe que lo utilizan EMC Replication Manager y algunos clientes BitTorrent.
Tenga en cuenta que la información anterior está incompleta y que cualquier producto puede decidir utilizar cualquier puerto que desee, sin prestar atención a convenciones y estándares. El primer paso es utilizar más software de seguimiento y buscar programas que estén escuchando en estos puertos.
Respuesta2
Finalmente pude recrear este comportamiento con cPorts en ejecución. Parece suceder con frecuencia al iniciar sesión el usuario (pero no siempre) y luego de forma un poco aleatoria (a veces aproximadamente una vez por hora, pero puede pasar mucho tiempo sin que ocurra).
Los puertos UDP están vinculados a dasHost.exe. Y todos estos puertos parecen transmitirse al mismo tiempo. Parece provenir (al menos en parte) de "Universal Print". Esta es la única entrada en mi Visor de eventos de Windows que corresponde casi exactamente al tiempo de estas transmisiones UDP (sin que ningún otro evento se acerque).
Siempre hay dos hechos informativos que acompañan a estas retransmisiones, primero:
No se puede encontrar la descripción del ID de evento 1 de la fuente Universal Print. O el componente que genera este evento no está instalado en su computadora local o la instalación está dañada. Puede instalar o reparar el componente en la computadora local.
Si el evento se originó en otra computadora, la información mostrada debía guardarse con el evento.
La siguiente información se incluyó con el evento:
El dispositivo no está unido a AAD/dominio ni al lugar de trabajo. mcpmanagementservice.dll
El recurso local específico para el mensaje deseado no está presente
y luego:
No se puede encontrar la descripción del ID de evento 1 de la fuente Universal Print. O el componente que genera este evento no está instalado en su computadora local o la instalación está dañada. Puede instalar o reparar el componente en la computadora local.
Si el evento se originó en otra computadora, la información mostrada debía guardarse con el evento.
La siguiente información se incluyó con el evento:
Inicialización exitosa. Habilitado=falso, CloudPrintSolution=Desconocido, DiscoveryEndpoint=, OAuthAuthority=, OAuthClientId=, DiscoveryResourceId=, PrintResourceId= mcpmanagementservice.dll
El recurso local específico para el mensaje deseado no está presente
Puedo entender la transmisión 3289 desde este punto de vista al ser un puerto Epson, todavía no estoy seguro de los demás, pero me siento un poco mejor sabiendo el origen. Probablemente todavía intentaré profundizar más para obtener más información.