Gözlemlediğimiz üzere, ağımızdaki bazı makineler svchost.exe kullanarak llw.net sunucularına bağlanıyor ve oldukça büyük miktarda veri gönderiyorlar.
Lime Light Networks bir CDN (content Delivery Network).
http://en.wikipedia.org/wiki/Limelight_Networks
Microsoft'un update sunucusu olarak kullanılan firmalardan biri. Başka firmalar için de CDN olarak kullanılmakta.
http://www.ip-adress.com/whois/208.111.154.0
Svchost, daha önce birçok virüs tarafından kullanılmıştı.
ilgi çekici olan, lokal makinelerden dışarı olan trafik.
Bunun CDN ile ne alakası var?
Bu gerçekten bir güncelleme mi, saldırı mı, yoksa içerik hırsızlığı mı?
Svchost un nasıl çalıştığı aşağıdaki linkte anlatılmış
http://rmfdevelopment.com/WhitePapers/The_Svchost_Conundrum.pdf
