Existe la posibilidad de que un malware se escude detras del programa services.exe ó svchost.exe, ambos lanzadores de procesos. El primero se encarga los procesos exe y el segundo de librerias dll. Puede verse cuales librerias lanza svchost.exe si miramos dentro de la siguiente clave del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
cuya clave Parameters contiene un valor ServiceDLL:Esta informacion puede encontrarse en las fuentes originales:
http://support.microsoft.com/kb/314056/es
Como agregado, aquellas claves (debajo de la rama anterior) que contienen un valor llamado ImagePath, se refieren a los exe y sys (drivers) que lanzará el programa services.exe. Esto ultimo es una aproximacion empirica e intuitiva de mi parte, pues no encontre informacion al respecto en ms.
Bueno, pero yendo al grano: si ejecutamos el programa fport, es posible que nos reporte varias instancias del programa services.exe ó del programa svchost.exe
Entonces, cómo saber quien se escuda detras de alguno de esos procesos?
Una herramienta excelente para esos menesteres es: "Process explorer"
Una vez iniciado el programa podemos ver una lista de todas las instancias de svchost.exe. Si sobre una de esas instancias hacemos doble clic, nos muestra todas las propiedades, que incluyen una pestaña "Services", en donde nos informa cual es la dll que se esta ejecutando.
Si sabemos que determinado puerto no debe estar abierto, solo tenemos que tomar nota del pid que nos informa el programa fport, seleccionar la instancia de svchost que coincide con ese pid en la ventana de process explorer, hacer doble clic, ver la pestaña services y tomar nota de la dll culpable. Luego, con el mismo programa process explorer, detenemos el servicio en cuestion, renombramos la libreria y reiniciamos el sistema para constatar los cambios.
Podemos descargar fport del siguiente link:
http://www.foundstone.com/us/resources-free-tools.asp
Y process explorer desde aqui:
http://support.microsoft.com/kb/314056/es
