Continuando con el post sobre firewalls y la utilidad que tienen para detectar la actividad de malwares en nuestro equipo, ahora le toca el turno a una de herramienta presente en Windows que puede ser utilizada con este fin.
Comando netstat:
Este comando permite visualizar las conexiones establecidas por el equipo en un determinado momento, para ejecutarlo debemos ingresar al Símbolo del sistema (Inicio/Ejecutar/cmd) y escribir el nombre del comando. Si escribimos netstat /? (ayuda) podremos ver todas sus opciones y una descripción de las mismas, en particular me voy a centrar en una de ellas que es muy sencilla de utilizar y comprender.
Una de las sentencias que se pueden utilizar con netstat es la -o (netstat -o), esta permite -como la ayuda lo indica- identificar los ID de procesos asociados a cada conexión. Este ID es un número también conocido como PID que se puede observar en la lista de procesos del Administrador de tareas (Ctrl+Shit+Esc). Por defecto el PID no se muestra, pero lo podemos habilitar si en la pestaña «Procesos» accedemos al menú «Ver / Seleccionar Columnas» y luego marcamos la opción «Identificador de procesos (PID)»:
Volviendo al comando netstat, si ejecutamos un netstat -o se desplegará la lista de programas que están conectados a la red y su PID correspondiente.
De esta forma, por ejemplo, en la siguiente imagen se puede apreciar una conexión identificada con el PID 3108. Observando la lista de procesos del Administrador de tareas puedo fácilmente verificar a qué programa pertenece, en este caso comprobé que se trataba del programa firefox.exe:
Otra forma de chequear el PID del programa es ejecutar dentro de la misma ventana con el comando tasklist. Este desplegará la lista completa de procesos en ejecución y su PID correspondiente.
Como ejemplo con el comando netstat -o veo en acción al PID 2960 y gracias al tasklist puedo determinar que pertenece al archivo «ekrn..exe», además dicho ya de paso, observo que está haciendo un uso interesante de la memoria del sistema:
Buscando algo de información en Google o sitios con información sobre procesos veo que el proceso corresponde al antivirus y por lo tanto su actividad es normal.
Identificando el malware:
Teniendo todo este proceso presente, ahora podremos detectar conexiones extrañas generadas por malwares o programas no deseados. Vale la pena utilizar el netstat de vez en cuando para verificar las conexiones del PC, y sobre todo cuando notemos comportamientos extraños o una conexión algo lenta, producto tal vez de malwares o programas no deseados que consuman el ancho de banda.
Cabe mencionar que el comando netstat también cumple muchas otras funciones y también se puede utilizar para controlar puertos y ver hacia dónde se comunican.