Utilizado el comando Netstat para detectar malwares en Windows

Continuando con el post sobre firewalls y la utilidad que tienen para detectar la actividad de malwares en nuestro equipo, ahora le toca el turno a una de herramienta presente en Windows que puede ser utilizada con este fin.

Comando netstat:

Este comando permite visualizar las conexiones establecidas por el equipo en un determinado momento, para ejecutarlo debemos ingresar al Símbolo del sistema (Inicio/Ejecutar/cmd) y escribir el nombre del comando. Si escribimos netstat /? (ayuda) podremos ver todas sus opciones y una descripción de las mismas, en particular me voy a centrar en una de ellas que es muy sencilla de utilizar y comprender.

Netstat
Una de las sentencias que se pueden utilizar con netstat es la -o (netstat -o), esta permite -como la ayuda lo indica- identificar los ID de procesos asociados a cada conexión. Este ID es un número también conocido como PID que se puede observar en la lista de procesos del Administrador de tareas (Ctrl+Shit+Esc). Por defecto el PID no se muestra, pero lo podemos habilitar si en la pestaña “Procesos” accedemos al menú “Ver/Seleccionar Columnas” y luego marcamos la opción “Identificador de procesos (PID)“:

PID aminitrador
Volviendo al comando netstat, si ejecutamos un netstat -o se desplegará la lista de programas que están conectados a la red y su PID correspondiente.

De esta forma, por ejemplo, en la siguiente imagen se puede apreciar una conexión identificada con el PID 3108. Observando la lista de procesos del Administrador de tareas puedo fácilmente verificar a qué programa pertenece, en este caso comprobé que se trataba del programa firefox.exe:

Netstat o
Otra forma de chequear el PID del programa es ejecutar dentro de la misma ventana, el comando tasklist. Este desplegará la lista completa de procesos en ejecución y su PID correspondiente:

tasklist
Otro ejemplo: con el comando netstat -o veo en acción al PID 2960 y gracias al tasklist puedo determinar que pertenece al archivo “ekrn..exe”, además dicho ya de paso, observo que está haciendo un uso interesante de la memoria del sistema:

tasklist deteccion
Buscando algo de información en Google o sitios con información sobre procesos, veo que el proceso corresponde al antivirus Nod32 y por lo tanto su actividad es normal.

Identificando el malware:

Teniendo todo este proceso presente, ahora podremos detectar conexiones extrañas generadas por malwares o programas no deseados. Vale la pena utilizar el netstat de vez en cuando para verificar las conexiones del PC, y sobre todo cuando notemos comportamientos extraños o una conexión algo lenta, producto tal vez de malwares o programas no deseados que consuman el ancho de banda.

Cabe mencionar que el comando netstat también cumple muchas otras funciones y también se puede utilizar para controlar puertos y ver hacia dónde se comunican.

Netstat funciona tanto en Windows XP como en Vista, para este último sistema operativo veremos en una próxima entrada una herramienta de monitoreo del propio sistema que facilita toda esta tarea de identificación de programas conectados.


  1. Anónimo opina:

    Muy interesante siempre es bueno controlar lo que pasa en nuestros PCs. Se agradece la info

  2. Anónimo opina:

    wow no soy de comentar en los blogs y en el tuyo que hace rato lo sigo tampoco xD que de paso te digo que esta muy muy bueno, pero esto me hace inevitable no comentar lo util que es este tutorial que estas haciendo para lo ques sabemos algo pero no tanto como esto, simplemente exelente.
    Segui asi!
    bye

  3. Anónimo opina:

    oies y por decir cuando tenemos un PID en la lista de procesos y este no aparece en la lista que te arroja en comando netstat -o de que manera se puede interpresar es un programa malisioso ?

  4. Anónimo opina:

    hola amigos:

    desde ya gracias por la info.
    Una consulta que me surge es que pasa cuando netstat me tira el listado con los pid y cuando verifico a que proceso pertenece me mustra el iexplorer de que forma puedo verificar si es un virus o malware…desde ya muchas gracias
    Dario

  5. SpamLoco opina:

    "Buscando algo de información en Google o sitios con información sobre procesos, veo que el proceso corresponde al antivirus Nod32 y por lo tanto su actividad es normal."

    Fijate en el artículo los enlaces de esa parte :)

  6. Ezequiel opina:

    Hola, a mi me pasa un cazo parecido, netstat me muestra que un proceso llamado sistema con pid 888 se conecta a varias ip constantemente pero con taskmanager no me aparece ningún proceso con ese pid (888) tampoco lo puedo matar con taskkill, creo que debe ser un virus pero por ahora no veo como eliminarlo, ayuda! xD

  7. jesus opina:

    que sucede si en mi lista de procesos no encuentro un pid que esta activo en la ventana de comandos? osea en la ventana aparece el pid 1228 y al buscar en el administrador de tareas no aparece… es un virus o alguien me esta vigilando?

  8. Alejandro Eguía opina:

    Hola Jesus, hay procesos que a veces no aparecen en el administrador de tareas.

    Lo mejor tal vez sea realizar un análisis de la PC con un antivirus online o en CD para que el análisis sea externo.

¿Te gustaría dejar una opinión?