Verdächtiger NetBios-Namensdienstverkehr

Eine Freundin von mir beklagte sich kürzlich über die sehr schlechte Leistung der Internetverbindung über das LAN ihrer Familie. Anscheinend hat die Internetverbindung die meiste Zeit normal funktioniert, aber bestimmte Websites (z. B. Facebook) funktionierten sehr schlecht und funktionierten manchmal überhaupt nicht. Darüber hinaus schien es jeden Abend einen massiven Leistungsabfall zu geben, der das Internet nahezu unbrauchbar machte.

Neugierig auf die Ursache dieser Probleme überwachte ich den Netzwerkverkehr, der auf meinem Computer sichtbar war, und entdeckte verdächtigen Datenverkehr. Jede Minute sendete ein Windows 7-Host 12 NetBios Name Service-Pakete (ein Paket / Sekunde), die anscheinend nach einem alten Windows XP-Computer fragten, der gelegentlich mit dem LAN (und dem Internet ...) verbunden wird. Die Pakete sahen so aus:

12:52:37.567533 IP (tos 0x0, ttl 128, id 17406, offset 0, flags [none], proto UDP (17), length 78) 192.168.0.2.netbios-ns > 192.168.0.255.netbios-ns: [udp sum ok]  >>> NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST TrnID=0xBC60 OpCode=0 NmFlags=0x11 Rcode=0 QueryCount=1 AnswerCount=0 AuthorityCount=0 AddressRecCount=0 QuestionRecords: Name=HOSTNAME NameType=0x20 (Server) QuestionType=0x20 QuestionClass=0x1 

Ich habe gelesen, dass NBNS von Malware verwendet wird, aber die Antiviren-Software von Kaspersky des Hosts, der diese Pakete sendet, keine schädlichen Inhalte finden konnte. Leider war ich noch nicht in der Lage, den Verkehr des gesamten Netzwerks zu überwachen, insbesondere nach dem Leistungsabfall am Abend.

Könnte dieses Verhalten durch Malware verursacht werden, die nach anfälligen Hosts im Netzwerk sucht, um sie zu infizieren, und / oder sich abends zu einem bestimmten Zeitpunkt aktiviert, um starken Internetverkehr zu verursachen? Fallen Sie jetzt auf diese Art Malware an und wie können Sie sie erkennen? Oder bin ich nur paranoid und das ist völlig normales Verhalten (wie man aus mehr Erfahrung im normalen Netzwerkverkehr sagen kann)?