Windows 7의 모든 단일 응용 프로그램 (notepad.exe와 같은 인터넷을 전혀 사용하지 않는 경우도 있음)이 인터넷에 액세스하려고합니다.

4

최근의 AV / FW 소프트웨어 업데이트 (Comodo) 및 컴퓨터 재시작 후, "x"(여기서 "x"는 거의 내가 실행하려고하는 모든 것) 응용 프로그램이 나가는 연결을 설정하려고 시도 할 것이라는 큰 경고 메시지가 나타났습니다. 224.0.0.252 (또는 때로는 같은 범위의 유사한 주소)를 입력하십시오. 비록 내가 방금 만든 일부 어리 석음 응용 프로그램이나 인터넷과 관련이없는 응용 프로그램입니다. "시스템"프로세스 자체가 이러한 IGMP 요청을 요청으로 보내려고합니다. 평균 분당 5 개의 연결. 또한 NetBIOS를 비활성화하여 고정 된 포트 137 및 138 UDP 트래픽의 증가 (또는 FW 업데이트 감지 과감)가있었습니다.

내 질문은 : 이것의 원인이 될 수있는 것은 무엇입니까? 그게 정상인가요? 내 방화벽이 최신 업데이트에 과민 반응을 보인 적이 있습니까? 아니면 뭔가 악의적 인 것을 잡았을 수도 있습니다 (Comodo / Spybot Search 및 Destroy는 적색 플래그를 발생시키지 않는 것 같습니다). 현재 사용중인 AV.FW (Comodo)에서 적용 할 수있는 위협에 대해 시스템에서 확인 / 치료하는 데 사용할 수있는 다른 방법은 무엇입니까?

-----편집하다-----

모든 업데이트가 새로 설치된 시스템은 지금까지와 같이 정확한 강도로 작동하는 것처럼 보입니다. Windows Defender 오프라인 검사는 문제를 드러내지 않았습니다.

기본적으로 아이디어가 없으며 최근 시스템 업데이트 또는 결함있는 방화벽 소프트웨어로 인한 것인지 궁금합니다. 그리고 그것이 어떤 루트킷에 의해서 어떻게 그것을 드러내고 제거 할 수 있는지에 대해서 말입니다.

windows-7  windows  firewall  anti-virus 
timroy
소스

답변:

2

이것은 당신이 악의적 인 것을 잡은 것처럼 들립니다. 당신이 사용하는 바이러스 / 트로이 / 스파이웨어를 발견 한 경우 DLL 삽입 그 주입 된 DLL에서 여러분이 본 IP 주소로 집에 전화하면 당신이 겪고있는 행동의 종류를 정확히 볼 수 있습니다.

이것은 또한 합법적 인 프로그램에서 오인 된 업데이트 일 수 있습니다. 그러면 바이러스 백신이 그 바이러스를 잡지 못하는 이유를 설명 할 수는 있지만 가능성은 희박합니다.

감염이없는 다른 컴퓨터에 가서 다운로드하라고 권하고 싶습니다. Windows Defender 오프라인 . 이렇게하면 부팅 가능한 CD / USB를 만들 수 있습니다 (부팅 가능한 USB를 만들면 드라이브를 꽂은 상태에서 설치 프로그램을 다시 실행하여 바이러스 정의를 업데이트 할 수 있음) OS를 부팅하지 않고 감염 여부를 컴퓨터에서 검색합니다 감염으로 인해 바이러스 스캐너가 감염된 파일을 보지 못하도록 차단하고 Windows 이전에 실행하면 바이러스가 숨어 들어 오기 전에 오프라인 검사에서 숨김 파일을 볼 수 있습니다.

Scott Chamberlain
소스
설명 된 증상은 악의적 인 일이 일어나지 않는다고 제게 제안하지 않습니다.
Dale
1

224.0.0.252는 동일한 로컬 링크에서 이름 확인을위한 것입니다. LLMNR

에 따르면 인터넷 할당 번호 기관 :

멀티 캐스트 라우터는 전달하지 않아야합니다.   이 범위 내의 수 신지 주소를 갖는 임의의 멀티 캐스트 데이터 그램,   그것의 TTL에 관계없이.

즉, 224.0.0.252 (멀티 캐스트 주소)로 보낸 패킷의 범위가 범위를 지정하여 멀티 캐스트 사용 라우터가 쿼리 메시지를 처음에 전송 된 서브넷을 넘어서 전달하지 못하게합니다.

이러한 전송의 목적은 DNS와 마찬가지로 이름을 확인하는 것입니다. DNS 전이가 이름을 해석 할 수 없을 때 로컬 서브넷의 단일 레이블 이름 (예 : MYCOMPUTR)을 해석합니다. Ad-Hoc 네트워크 시나리오에 있거나 DNS 항목에 로컬 서브넷의 호스트가 포함되지 않은 경우에 유용합니다.

따라서 라우팅 할 수없는 경우 사설망 , 해당 패킷은 수신 대기중인 로컬 컴퓨터에서만 볼 수 있습니다 ( Network Discovery ). 청취자가 듣는 것으로부터 배우게되는 것은 컴퓨터의 이름입니다.

당신은에 대한 레지스트리를 검색 할 수 있습니다 EnableMulticast(일반적으로) HKLM Windows 소프트웨어 지사에서해야합니다. 이 값을 0으로 설정하면 해당 패킷이 중지되어야합니다.

IPv4를 사용 중이면 로컬 컴퓨터가 이름 확인을 위해 NetBIOS over TCP / IP를 사용할 수 있지만 IPv6에서는 작동하지 않으므로 LLMNR이 인계합니다.

Dale
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.