Gli utenti hanno iniziato a lamentarsi della bassa velocità della rete, quindi ho acceso Wireshark. Qualche controllo e trovato molti PC che inviano pacchetti simili al seguente (screenshot):
Ho sfocato il testo per il nome utente, il nome del computer e il nome del dominio (poiché corrisponde al nome del dominio Internet). I computer stanno inviando spam ai server di Active Directory cercando di forzare le password di hacking forzato. Inizierà con l'amministratore e scenderà l'elenco degli utenti in ordine alfabetico. Andare fisicamente al PC non trova nessuno vicino a sé e questo comportamento si diffonde attraverso la rete, quindi sembra essere un virus di qualche tipo. La scansione di computer che sono stati scoperti spamming sul server con Malwarebytes, Super Antispyware e BitDefender (questo è l'antivirus del client) non produce risultati.
Questa è una rete aziendale con circa 2500 PC, quindi fare una ricostruzione non è un'opzione favorevole. Il mio prossimo passo è contattare BitDefender per vedere quale aiuto possono fornire.
Qualcuno ha visto qualcosa del genere o ha qualche idea di cosa potrebbe essere?