TcpView es una utilidad de Windows Sysinternals que nos muestra toda la actividad TCP y UDP en tiempo real de nuestro sistema. Sus aplicaciones son muchas, como por ejemplo la que propició que yo supiera de su existencia y me alegrara de ello.
Imaginaos que a una empresa le bloquean el puerto 25 desde su ISP (algo habitual) por envío masivo de correo basura. Si dicha empresa tiene muchos PCs dedicarse a pasar herramientas de detección de malware puede suponer muchas horas de trabajo.
Si simplemente corremos esta utilidad en todos los PCs, lo que no supone más de 1 minuto por cada uno de ellos, rápidamente encontraremos el/los ordenadores culpables de dicho envío masivo, y podremos dedicar todo nuestro tiempo a limpiarlo o a formatearlo directamente, según preferencias de cada uno.
La descarga sólo son 208KB, y no hay que instalarlo. Encontramos dentro del zip dos ejecutables, el primero que hay que arrancar es el TcpView.exe que nos mostrará todo servicio/aplicación que tenga una conexión abierta, ya sea hacia fuera de la red o hacia nuestro propio PC o dominio de la red.
Este listado corresponde a un PC limpio, sin nada sospechoso, ahora veamos uno infectado con un troyano que manda spam indiscriminadamente.
Aquí vemos un trozo del listado que muestra múltiples conexiones smtp hacia fuera a distintos dominios, claramente se trata de un troyano. Al lado del proceso tenemos un número PID, con dicho número podemos ejecutar Tcpvcon -a -n 784 y veremos el mismo listado pero desde DOS.
Este es un ejemplo de un proceso de la máquina limpia.