domingo, 16 de enero de 2011

NETSTAT (2), SU USO PARA AVERIGUAR SI TENEMOS BICHOS.

El comando netstat muestra las conexiones TCP activas, los puertos en los que escucha  (listen) el ordenador, las estadísticas de la red Ethernet, el enrutamiento IP, las estadísticas IPV4 e IPV6. Si utilizamos el comando sin ningún parámetro, sólo muestra las conexiones TCP activas. Para controlar si hay alguna aplicación de spyware o malware activa debemos emplear, en Windows XP, el parámetro -o y -b en cualquier otra versión del sistema operativo. Éste muestra las conexiones TCP activas, la dirección local, la dirección remota, el estado de la conexión (en espera, cerrada, establecida) y el PID (ID de proceso).

Utilizando netstat con el parámetro indicado podemos averiguar lo que pretendemos. Debemos también ajustar el intervalo de ejecución, es decir, cada cuanto chequea y presenta la información, por ejemplo, en nuestro caso, serán 5 segundos. Haz lo siguiente:
  • Accede a la consola de comandos: Inicio \ Ejecutar y escribe cmd.
  • Con el fin de que el archivo de texto que mostrará los resultados se guarde en el directorio raíz de nuestro disco duro, escribe cd \
  • Escribe ahora, también en el prompt del sistema (C:\>), si tu disco duro corresponde a la unidad C u otro si la letra es diferente, lo siguiente: netstat -o 5 >actividad.txt
  • Después de un cierto periodo de tiempo, pulsa conjuntamente las teclas Ctrl C (control y C).
  • Examina el archivo que tendremos en C: actividad.txt (lo puedes abrir con el Bloc de notas). Podrás ver si hay algo sospechoso en las direcciones remotas.
Es conveniente que durante el tiempo de ejecución del comando no efectúes ningún tipo de actividad en tu ordenador, todos los programas cerrados. No debes utilizar tu navegador web, ningún cliente de correo POP o ninguna aplicación peer to peer (emule, etc).

Si encuentras algo sospechoso, utiliza algún antivirus y/o antispyware para eliminar el programa o programas que están infectando tu ordenador.


Fuente: bitacora.com y batiburrillo.

No hay comentarios: