Utilizado el comando Netstat para detectar malwares en Windows

Continuando con el post sobre firewalls y la utilidad que tienen para detectar la actividad de malwares en nuestro equipo, ahora le toca el turno a una de herramienta presente en Windows que puede ser utilizada con este fin.

Comando netstat:

Este comando permite visualizar las conexiones establecidas por el equipo en un determinado momento, para ejecutarlo debemos ingresar al Símbolo del sistema (Inicio/Ejecutar/cmd) y escribir el nombre del comando. Si escribimos netstat /? (ayuda) podremos ver todas sus opciones y una descripción de las mismas, en particular me voy a centrar en una de ellas que es muy sencilla de utilizar y comprender.

netstat comando

Una de las sentencias que se pueden utilizar con netstat es la -o (netstat -o), esta permite -como la ayuda lo indica- identificar los ID de procesos asociados a cada conexión. Este ID es un número también conocido como PID que se puede observar en la lista de procesos del Administrador de tareas (Ctrl+Shit+Esc). Por defecto el PID no se muestra, pero lo podemos habilitar si en la pestaña «Procesos» accedemos al menú «Ver / Seleccionar Columnas» y luego marcamos la opción «Identificador de procesos (PID)»:

administrador de windows PID

Volviendo al comando netstat, si ejecutamos un netstat -o se desplegará la lista de programas que están conectados a la red y su PID correspondiente.

De esta forma, por ejemplo, en la siguiente imagen se puede apreciar una conexión identificada con el PID 3108. Observando la lista de procesos del Administrador de tareas puedo fácilmente verificar a qué programa pertenece, en este caso comprobé que se trataba del programa firefox.exe:

netstat-o ejemplo

Otra forma de chequear el PID del programa es ejecutar dentro de la misma ventana con el comando tasklist. Este desplegará la lista completa de procesos en ejecución y su PID correspondiente.

Como ejemplo con el comando netstat -o veo en acción al PID 2960 y gracias al tasklist puedo determinar que pertenece al archivo «ekrn..exe», además dicho ya de paso, observo que está haciendo un uso interesante de la memoria del sistema:

pid actividad en consola

Buscando algo de información en Google o sitios con información sobre procesos veo que el proceso corresponde al antivirus y por lo tanto su actividad es normal.

Identificando el malware:

Teniendo todo este proceso presente, ahora podremos detectar conexiones extrañas generadas por malwares o programas no deseados. Vale la pena utilizar el netstat de vez en cuando para verificar las conexiones del PC, y sobre todo cuando notemos comportamientos extraños o una conexión algo lenta, producto tal vez de malwares o programas no deseados que consuman el ancho de banda.

Cabe mencionar que el comando netstat también cumple muchas otras funciones y también se puede utilizar para controlar puertos y ver hacia dónde se comunican.

12 comentarios en «Utilizado el comando Netstat para detectar malwares en Windows»

  1. tengo la misma pregunta q varios participantes del foro – Pero veo que nadie la responde
    aparece un proceso cuyo PID no puede ubicarse en el adm de tareas – que significa ???

    Responder
  2. Hola Jesus, hay procesos que a veces no aparecen en el administrador de tareas.

    Lo mejor tal vez sea realizar un análisis de la PC con un antivirus online o en CD para que el análisis sea externo.

    Responder
  3. que sucede si en mi lista de procesos no encuentro un pid que esta activo en la ventana de comandos? osea en la ventana aparece el pid 1228 y al buscar en el administrador de tareas no aparece… es un virus o alguien me esta vigilando?

    Responder
  4. Hola, a mi me pasa un cazo parecido, netstat me muestra que un proceso llamado sistema con pid 888 se conecta a varias ip constantemente pero con taskmanager no me aparece ningún proceso con ese pid (888) tampoco lo puedo matar con taskkill, creo que debe ser un virus pero por ahora no veo como eliminarlo, ayuda! xD

    Responder
  5. "Buscando algo de información en Google o sitios con información sobre procesos, veo que el proceso corresponde al antivirus Nod32 y por lo tanto su actividad es normal."

    Fijate en el artículo los enlaces de esa parte :)

    Responder
  6. hola amigos:

    desde ya gracias por la info.
    Una consulta que me surge es que pasa cuando netstat me tira el listado con los pid y cuando verifico a que proceso pertenece me mustra el iexplorer de que forma puedo verificar si es un virus o malware…desde ya muchas gracias
    Dario

    Responder
  7. oies y por decir cuando tenemos un PID en la lista de procesos y este no aparece en la lista que te arroja en comando netstat -o de que manera se puede interpresar es un programa malisioso ?

    Responder
  8. wow no soy de comentar en los blogs y en el tuyo que hace rato lo sigo tampoco xD que de paso te digo que esta muy muy bueno, pero esto me hace inevitable no comentar lo util que es este tutorial que estas haciendo para lo ques sabemos algo pero no tanto como esto, simplemente exelente.
    Segui asi!
    bye

    Responder

Deja un comentario