我不知道这个进程在我的电脑上做什么。我运行 Windows 7 Professional,并安装了所有更新,还运行了最新的非免费防病毒软件。
我只在资源监视器中看到它,您可以在其中看到连接到 bitum.nnov.ru 的网络服务进程。
当我的电脑的网络流量生成应用程序处于空闲状态时,此进程占用了所有使用网络的空闲进程的大部分资源。
截图托管在这里: http://sss.proinbox.com/bitum-nnov-ru.jpg
有人认识到这一点吗?
页面源代码提到了一个控制端口和一个流端口:
页面来源http://bitum.nnov.ru:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>DVR WebViewer</title>
<meta http-equiv="Content-Type" content="text/html; charset=euc-kr">
</head>
<body topmargin="0" leftmargin="0">
<OBJECT
classid="clsid:EE479A40-C128-40DD-93DA-000556AF9607"
codebase="CtrWeb.cab#version=1,0,2,2"
width=875
height=585
align=center
hspace=0
vspace=0
>
<param name="CmdPort" value="5920">
<param name="StreamPort" value="5921">
</body>
</html>
当我用谷歌搜索该页面的标题时,我看到许多其他托管同一页面的域名。
谁是:
domain: NNOV.RU
nserver: ns.kis.ru.
nserver: ns.nnov.ru. 78.25.80.210
nserver: ns1.kis.ru.
nserver: ns2.kis.ru.
state: REGISTERED, DELEGATED, VERIFIED
org: "Agentstvo Delovoj Svjazi", Ltd
registrar: RU-CENTER-REG-RIPN
admin-contact: https://www.nic.ru/whois
created: 1996.10.23
paid-till: 2012.11.01
free-date: 2012.12.02
source: TCI
Last updated on 2012.06.16 04:20:46 MSK
答案1
从 Sysinternals 下载一份 tcpview:http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx. 它可以显示已连接的应用程序和目的地。
答案2
我建议使用 Wireshark 来嗅探网络流量并查看流量的性质。您可以在计算机空闲时上传 pcap 文件,然后我们可以查看一下。据我所知,该 XHTML 文件引用了 Internet Explorer 的 ActiveX 控件。我在虚拟机上尝试过,因此如果它是恶意的,我不会感染我的主计算机,它显示了一个连接到 DVR 录像机(一种有自己的硬盘来存储捕获内容的网络摄像头)的界面。
我觉得这里面一定有什么可疑的东西。我首先想到的是有人使用你作为代理来连接这个网站,但我不确定。