Conexiones extrañas con netstat
Hace unos dÃas y por primera vez fui infectado por un malware. Estaba buscando unas imágenes con Google y al entrar a una página X no pude detener la instalación de un troyano que dejó ocultas mis carpetas, borró todo los programas de la barra de inicio, cambió configuraciones de registro de Windows y algunas otras cosas poco amistosas.
Luego de varios minutos de lucha (casi 1 hora), logré eliminarlo por completo, pero quedé paranoico con este asunto.
Revisé el equipo varias veces con distintas herramientas, después de cada reinicio veÃa los programas que parten al prender el PC a ver si algo se estaba levantando de la nada. Revisé tareas programadas y para comprobar si tenÃa conexiones extrañas use el clásico comando netstat.
Aprendà que para mantenerlo activo y que no se cierre la pantalla hay que ejecutarlo por consola abierta por el camino largo (Inicio -> CMD -> netstat) y no directamente de la barra de búsqueda de Windows.
Dentro de las conexiones, con todo cerrado, pude ver que se mantenÃan algunas conexiones (esta es sólo un ejemplo):
Proto Dirección local Dirección remota Estado
TCP 192.168.1.10:49165 v-client-4b:https CLOSE_WAIT
TCP 192.168.1.10:49217 sjc-not8:http ESTABLISHED
TCP 192.168.1.10:49237 yx-in-f120:https CLOSE_WAIT
TCP 192.168.1.10:49238 yx-in-f120:https CLOSE_WAIT
TCP 192.168.1.10:49427 yx-in-f19:https ESTABLISHED
TCP 192.168.1.10:49479 yx-in-f189:https ESTABLISHED
TCP 192.168.1.10:49644 yx-in-f19:https ESTABLISHED
TCP 192.168.1.10:49689 yx-in-f100:https TIME_WAIT
TCP 192.168.1.10:49690 yx-in-f132:https TIME_WAIT
TCP 192.168.1.10:49692 eze03s05-in-f31:http TIME_WAIT
TCP 192.168.1.10:49693 eze03s05-in-f31:http TIME_WAIT
TCP 192.168.1.10:49694 yx-in-f138:https ESTABLISHED
TCP 192.168.1.10:49695 yx-in-f101:https ESTABLISHED
TCP 192.168.1.10:49698 eze03s05-in-f31:https ESTABLISHED
TCP 192.168.1.10:49699 yx-in-f84:https ESTABLISHED
TCP 192.168.1.10:49700 yx-in-f84:https ESTABLISHED
TCP 192.168.1.10:49701 yx-in-f94:https ESTABLISHED
TCP 192.168.1.10:49702 yx-in-f94:https ESTABLISHED
TCP 192.168.1.10:49703 yx-in-f100:https ESTABLISHED
TCP 192.168.1.10:49704 yx-in-f100:https ESTABLISHED
TCP 192.168.1.10:49706 yx-in-f132:https ESTABLISHED
TCP 192.168.1.10:49707 yx-in-f132:https ESTABLISHED
TCP 192.168.1.10:49708 yx-in-f120:https ESTABLISHED
TCP 192.168.1.10:49709 yx-in-f120:https ESTABLISHED
TCP 192.168.1.10:49710 yx-in-f138:http ESTABLISHED
TCP 192.168.1.10:49711 yx-in-f138:http ESTABLISHED
TCP 192.168.1.10:49712 yx-in-f102:https ESTABLISHED
TCP 192.168.1.10:49713 yx-in-f102:https ESTABLISHED
TCP 192.168.1.10:49714 eze03s05-in-f31:https ESTABLISHED
Se ve algo como esto:
Después de muchas vueltas y revisar varios equipos, estas conexiones eran coincidentes en todos, asà que me puse a investigar que eran esos registros. Afortunadamente los resultados fueron tranquilizadores.
Conocà la herramienta TPCView, un programa gratuito, portable con soporte a Windows 7 y que, en base, es lo mismo que ejecutar un netstat pero más gráfico, con la posibilidad de hacer rápidamente un WHOIS a los dominios que aparecen en la consola, poder ver la ruta del archivo en ejecución y detener uno o más procesos como con el administrador de tareas de Windows.
En ese momento me di cuenta que varios dominios extraños, que no se logran ver bien por consola de comandos, era parte del dominio 1e100.net y estaba registrado a nombre de (no se imaginan) Google.
Por una situación de peligro pude aprender un par de trucos extras que jamás olvidaré. Les recuerdo que si necesitas ver si tienes una conexión sospechosa debes cerrar todos los programas (navegadores, Dropbox, clientes de correo, etc.) que puedan conectarse a internet. Vuelve por defecto la configuración del firewall y revisa los programas al inicio para ver si tienes programas sospechosos. Instala un buen antivirus y/o pasa un antispyware portable para descartar todo tipo de infección.
Califica este Artículo
Categoría: Cómo se hace, Hacking, Recomendamos, Software.
One Response to “Conexiones extrañas con netstat”
Deja una respuesta
te comentare q ese domain markmonitor sale marcado como alojador d un spyware q ejecuta conexiones a tu pc en paralelo a tu navegacion, y por ahi estoy leyendo q ejecuta conexiones a servidores en oracle para ejecutar sentencias de RMI o SOAP y obtener el BAM de tu maquina, hasta ahi voy ya q me tope con tu post :D