Les utilisateurs ont commencé à se plaindre de la lenteur du réseau, j'ai donc lancé Wireshark. A vérifié et trouvé de nombreux PC envoyant des paquets similaires à ce qui suit (capture d'écran):
J'ai brouillé le texte du nom d'utilisateur, du nom de l'ordinateur et du nom de domaine (car il correspond au nom de domaine Internet). Les ordinateurs spamment les serveurs Active Directory en essayant de pirater les mots de passe par force brute. Il commencera par l'administrateur et descendra la liste des utilisateurs par ordre alphabétique. Aller physiquement sur le PC ne trouve personne à proximité et ce comportement est répandu sur le réseau, il semble donc être un virus quelconque. L'analyse des ordinateurs qui ont été surpris en train de spammer le serveur avec Malwarebytes, Super Antispyware et BitDefender (c'est l'antivirus du client) ne donne aucun résultat.
Il s'agit d'un réseau d'entreprise avec environ 2500 PC, donc une reconstruction n'est pas une option favorable. Ma prochaine étape consiste à contacter BitDefender pour voir quelle aide ils peuvent fournir.
Est-ce que quelqu'un a vu quelque chose comme ça ou a une idée de ce que cela pourrait être?