アクセスランキング NetStatausMonitor で検出されたプロセス一覧 - DLしたもの

直列つなぎ。 -とある発達障害者の記録

知識と知識を繋ぐためのblog。 広汎性発達と診断されました。ぜんぜん役に立ってないけど。月収13万円(うち手取り11万)、家賃4万円で生活するひつじ人間。

NetStatausMonitor で検出されたプロセス一覧

ブログパーツ


更新履歴

 9/30 dnx.exe add. geek uninstaller項目追記。
  10/01  Maps.exe  add.
 10/02 taskhostw.exe add
     Music.UI.exe add
 10/03 HxTsr.exe   add
 10/05 smartscreen.exe add
 10/06 unity.exe add
 10/08 SpeechRuntime.exe add
           引用を追記
 10/09  Wermgr.exe 
             PilotshubApp.exe  add 

 17.12.14
    表にした。


 
//////////////////////////////

ウィルスを通信から発見するツール NetStatusMonitor
 http://www.asahi-net.or.jp/~tz2s-nsmr/NetStatusMonitor.html
                                 より

簡単な使い方  引用
15、本物のウィルスでなくても、通信機能のあるフリーソフトなどのファイル名をsvchost.exeとコピーして起動すれば感染状態をシミュレートできます
この例では、C:\000\TVToolWeb\NET2\TVToolWeb.exeというファイルをC:\000\TVToolWeb\NET2\svchost.exeとファイル名だけ
svchost.exeにコピーして通信した際にNetStatusMonitorが検出した画面例です(本物の詐称ウィルスもこの形で自動検出可能です)


16、ウィルス感染の典型的な例としてはもう1つ、クライアントポートにおいて「状態」が「SYN_SENT」の物が多数発生する
ケースというのがあり、この状態もNetStatusMonitorは自動検出する事が可能です


(※)除外リストに入っていても「SYN_SENT」は検出され、(正常な通信のケースもあるので)、SYN_SENTのログが10個以上あった場合だけ画面がピンク色に表示されます


4、尚、通常の通信でもいくつかのプロセスがSYN_SENT状態になっている事がありますが、除外済みの安全なプロセスで数個のSYN_SENTが発生するのは通常の状態なので特に警告は出しません(画面には表示が残りますが、アイコン時の
ポップアップ表示などはされません)

 

 SYN_SENTやESTABLISHED等の状態解説
信頼性のある通信を実現するTCPプロトコル(3) (3/4)
http://www.atmarkit.co.jp/ait/articles/0402/13/news096_3.html




 これ、本当にウイルスの通信まで検出するの?みたいな疑問がある。上手いこと掻い潜ってくるんじゃ・・・・・
とりあえず以下の様に列挙していく。
とにかく何でも検出する。
後で表にでもするか。


IP Address
・Microsoft 
                 
13.107.21.200
                  111.221.29.193,
                  111.221.29.253,
      
 Jupiter Telecommunication
            116.223.185.6
                116.223.189.94
                  116.223.202.244
            

※一応、各プロセスをwindows defender やAVGに掛けてチェックしています。


SYN_CENTなプロセスとIP(赤色:作者サイト上で警告している状態)
 ※
SYN_CENT閾値を5に設定しているため赤色表示されやすい。
 ※今後はこちらに絞って更新。どこまであてになるのか不明なのだが。
 ・firefox
      - CLOUDFLARENET 104.25.252.96 
      - SAKURA Internet Inc.  59.106.194.17
     

・ActionUriServer.exe  Microsoft Corporation (MSFT) https://whois-search.com/whois/13.107.21.200
・CompanionApp.exe  https://whois-search.com/whois/116.223.185.61
    -
Jupiter Telecommunication Co. Ltd   
   プロバイダ系 jcomのネット無料物件なので。
・CompatTelRunner.exe https://whois-search.com/whois/111.221.29.253 3-3

111.221.29.0 - 111.221.29.255 Microsoft Corp, Singapore


111.0.0.0 - 111.255.255.255 
 Asia Pacific Network Information Centre  
C:\Users\user\.dnx\runtimes\dnx-clr-win-x86.1.0.0-beta5\bin\dnx.exe Internet Assigned Numbers Authority (IANA) https://whois-search.com/whois/127.0.0.1  
HxTsr.exe https://whois-search.com/whois/198.41.215.182

CloudFlare https://whois-search.com/whois/111.221.29.253
                Microsoft Corp, Singapore
InstallAgentUserBroker.exe  Microsoft 関連  https://whois-search.com/whois/111.221.29.193
Maps.exe
https://whois-search.com/whois/116.223.189.94

Jupiter Telecommunication https://whois-search.com/whois/23.34.49.8


https://whois-search.com/whois/198.41.215.183
Music.UI.exe https://whois-search.com/whois/116.223.202.244 Jupiter Telecommunication Co. Ltd
・onenoteim.exe  https://whois-search.com/whois/198.41.215.182 CloudFlare
 98.41.128.0 - 198.41.255.255 
PilotshubApp.exe https://whois-search.com/whois/104.41.162.72  Microsoft
SkypeHost.exe  https://whois-search.com/whois/157.56.52.12  Microsoft Corporation (MSFT)
smartscreen.exe  https://whois-search.com/whois/5.79.86.25 LEASEWEB -https://en.wikipedia.org/wiki/LeaseWeb
SpeechRuntime.exe https://whois-search.com/whois/111.221.29.253 Microsoft Corp, Singapore
svchost.exe Microsoft https://whois-search.com/whois/13.107.4.50
 -https://whois-search.com/whois/111.221.29.213
sway.exe - https://whois-search.com/whois/117.18.237.191   EdgeCast Networks Asia Pacific Network

・taskhostw.exe
https://whois-search.com/whois/23.59.139.27 Akamai Technologies 
wmplayer.exe  https://whois-search.com/whois/61.25.1.184 Jupiter Telecommunication Co. Ltd
C:\Program Files\WindowsApps\9E2F88E3.Twitter_5.3.2.0_x86__wgeqdkkx372wm\Twitter.Windows.exe 企業名:EdgeCast Networks Asia Pacific Network  117.18.232.0 - 117.18.239.255  Whois:https://whois-search.com/whois/117.18.237.29
Unity.exe  https://whois-search.com/whois/127.0.0.1 
Internet Assigned Numbers Authority (IANA) 

         ーhttps://whois-search.com/whois/54.254.159.108



・Unity.exe    ーhttps://whois-search.com/whois/127.0.0.1 
Internet Assigned Numbers Authority (IANA)  
      
         ーhttps://whois-search.com/whois/54.254.159.108
Amazon Data Services Japan
Amazon Technologies Inc.

          ーhttps://whois-search.com/whois/62.116.219.115
Unity Technology ApS


・UnityShaderCompiler.exe
        -https://whois-search.com/whois/127.0.0.1

・wermgr.exe    ーhttps://whois-search.com/whois/65.55.252.43 
 Microsoft  

・Windows.Media.BackgroundPlayback.exe 
  -https://whois-search.com/whois/116.223.202.244
    Jupiter Telecommunication Co. Ltd



ブラウザ・フリーソフトその他



・firefox.exe         -https://whois-search.com/whois/8.36.113.189 企業名: Level 3 Communications  -https://en.wikipedia.org/wiki/Level_3_Communications
             Japan Network Information Center  210.160.0.0 - 210.175.255.255   ーhttps://whois-search.com/whois/210.160.193.170
                            ーhttps://whois-search.com/whois/216.58.220.163
                        ーhttps://whois-search.com/whois/23.44.155.27
AKAMAI
       ーhttps://whois-search.com/whois/121.94.171.150
FUJITSU LIMITED
      -https://whois-search.com/whois/111.221.29.253


・geek uninstaller  -http://www.geekuninstaller.com/download(レビュー http://forest.watch.impress.co.jp/library/software/geekuninst/  Windows ストアアプリのアンインストールに対応した「GeekUninstaller」v1.4) - 製作元の会社充てに、使用したことを通信しているのでは。
会社 https://en.wikipedia.org/wiki/Linode :https://www.linode.com/
 IPアドレスはログれなかった。 ちなみにぜひ入れるべきフリーソフトの一つ。





 なぜこういったプロセスが、Microsoft以外の会社と通信しているのか・・・・提携とか契約とかそんなのがあるんだろう。


 

このソフトの欠点

 折角検出されても、すぐに更新されて項目が一覧から消えてしまう事。

これじゃログりようがない? 
作者に要望出そうかなーと。
ログファイルは何かゴチャゴチャで分かりづらいし。

 netmonitor.jpg
 検出したものを右クリックで「詳細情報」を出しておくと消えないようです。その間、新たに検出はされないらしい。


 
Glaswireでプロセスの通信をシャットアウト

  https://www.glasswire.com/  レビュー:http://forest.watch.impress.co.jp/docs/review/665075.html


 20160929-031611.jpg


 Firewall機能があるので、プロセスごとの通信を完全にシャットアウト出来ます。便利。

実は必要な通信である事も多いので、無暗にブロックするとトラブったときに困るかも知れません。覚えとけばいいんだけどね。


 IP毎の通信量まで見ることが出来ます。



GlassWireのログ(NetstatusMonitorで検知していない?プロセスも含まれる)

特におかしなプロセスは見当たらない。

20161012-GlassWire.jpg




 Peerblock(http://forums.peerblock.com/)で特定範囲におけるIPアドレスからのアクセスをブロックすることも可能。ブロックされるとログが表示されるのだが、実際はJupiterなどを登録しても殆ど出ないため、特に気にする必要はないのかもしれない。 

 NetStatausMonitor側では検知されなくなった気はする。



登録したリスト

 20161012-020818.jpg




最近引っかかったログ。

20161012-020949.jpg





 

関連記事
スポンサーサイト

 DLしたもの

0 Comments

Leave a comment