Sorpresa tras ejecutar netstat -bv

Hash: SHA1

Fue el Domingo, 12 de Diciembre de 2004 16:54 cuando maribel escribió:

Mi pregunta es, tras haber leído el artículo de JM Tella sobre la utilidad
de los nuevos parámetros en el netstat... Estos "componentes desconocidos"
¿Son siempre indicador de tener algún tipo de script malicioso
ejecutándose en la máquina?¿Existe alguna otra posibilidad?

Me parece a mi que no tiene porque corresponderse con en script maliciosos,
ya que es perfectamente posible encontrase con la leyenda "componentes
desconocidos" en maquinas completamente limpias... normalmente netstat
escucha el PID de cada proceso en ejecución y busca el componente y lo
despliega (comando netstat -bv)

Pero eso comando no solo despliega el nombre del proceso también despliega
los archivos relacionados, la leyenda "componentes desconocidos" aparece
cuando no se ha podido determinar por cualquier motivo que componentes son
los que están relacionados con ese proceso.

Saludos
Fernando M. / Registered Linux User #367696

Danos la salida completa para verla.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"maribel" wrote in message
news:u%23%23%

Hola, grupo.

Acabo de hacer una instalación limpia de XPSP2 desde un cd que monté
siguiendo las instrucciones de J.M. Tella Llop en www.multingles.net.

Todo parece ir bien, he hecho la instalación sin estar conectada a
internet y he dejado el FW de windows activado con la configuración
por defecto.

El caso es que ejecuto un netstat -bv y encuentro varios procesos que
están escuchando y que presentan la descripción más o menos como la
que sigue:

TCP aleae:netbios-ssn aleae:0 listening PID 4
- componentes desconocidos -
[Sistema]

También aparece esa descripción de "componentes desconocidos" en otras
conexiones, a veces sola, a veces acompañada de módulos del sistema
como Ws2_32.dll o alg.exe

Mi pregunta es, tras haber leído el artículo de JM Tella sobre la
utilidad de los nuevos parámetros en el netstat... Estos "componentes
desconocidos" ¿Son siempre indicador de tener algún tipo de script
malicioso ejecutándose en la máquina?¿Existe alguna otra posibilidad?

Ahora mismo no tengo instalado ningún software en el ordenador aparte
del adobe reader y el propio XP.

Muchas gracias de antemano

tella te esta espiando maribel jijiji


"maribel" escribió en el mensaje
news:u%23%23%

Hola, grupo.

Acabo de hacer una instalación limpia de XPSP2 desde un cd que monté
siguiendo las instrucciones de J.M. Tella Llop en www.multingles.net.

Todo parece ir bien, he hecho la instalación sin estar conectada a

internet

y he dejado el FW de windows activado con la configuración por defecto.

El caso es que ejecuto un netstat -bv y encuentro varios procesos que

están

escuchando y que presentan la descripción más o menos como la que sigue:

TCP aleae:netbios-ssn aleae:0 listening PID 4
- componentes desconocidos -
[Sistema]

También aparece esa descripción de "componentes desconocidos" en otras
conexiones, a veces sola, a veces acompañada de módulos del sistema como
Ws2_32.dll o alg.exe

Mi pregunta es, tras haber leído el artículo de JM Tella sobre la utilidad
de los nuevos parámetros en el netstat... Estos "componentes desconocidos"
¿Son siempre indicador de tener algún tipo de script malicioso

ejecutándose

en la máquina?¿Existe alguna otra posibilidad?

Ahora mismo no tengo instalado ningún software en el ordenador aparte del
adobe reader y el propio XP.

Muchas gracias de antemano

Bueno, creo que correré el riesgo de que me espies aunque sólo sea por el
trabajo que me ahorró instalar de una vez el XP con el SP2 en vez de
instalarlo por entregas...

Ahí va la salida completa:

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Maribel>netstat -avb

Conexiones activas

Proto Dirección local Dirección remota Estado
PID
TCP aleae:epmap aleae:0 LISTENING 1012
c:\winxp\system32\WS2_32.dll
C:\WINXP\system32\RPCRT4.dll
c:\winxp\system32pcss.dll
C:\WINXP\system32\svchost.exe
[svchost.exe]

TCP aleae:microsoft-ds aleae:0 LISTENING 4
ntoskrnl.exe
[Sistema]

TCP aleae:1030 aleae:0 LISTENING 2752
C:\WINXP\System32\WS2_32.dll
C:\WINXP\System32\alg.exe
C:\WINXP\system32\RPCRT4.dll
C:\WINXP\system32\ole32.dll
[alg.exe]

TCP aleae:1076 aleae:0 LISTENING 2792
C:\WINXP\system32\WS2_32.dll
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccL30.dll
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\CCEMLPXY.DLL
C:\WINXP\system32\RPCRT4.dll
C:\WINXP\system32\ADVAPI32.dll
[ccApp.exe]

TCP aleae:netbios-ssn aleae:0 LISTENING 4
[Sistema]

UDP aleae:1037 *:* 1140
C:\WINXP\system32\mswsock.dll
c:\winxp\system32\WS2_32.dll
c:\winxp\system32\DNSAPI.dll
c:\winxp\system32\dnsrslvr.dll
C:\WINXP\system32\RPCRT4.dll
[svchost.exe]

UDP aleae:isakmp *:* 804
C:\WINXP\system32\WS2_32.dll
C:\WINXP\system32\oakley.DLL
C:\WINXP\system32\LSASRV.dll
C:\WINXP\system32\ADVAPI32.dll
C:\WINXP\system32\kernel32.dll
[lsass.exe]

UDP aleae:4500 *:* 804
C:\WINXP\system32\WS2_32.dll
C:\WINXP\system32\oakley.DLL
C:\WINXP\system32\LSASRV.dll
C:\WINXP\system32\ADVAPI32.dll
C:\WINXP\system32\kernel32.dll
[lsass.exe]

UDP aleae:microsoft-ds *:* 4
[Sistema]

UDP aleae:1900 *:* 1244
c:\winxp\system32\WS2_32.dll
c:\winxp\system32\ssdpsrv.dll
C:\WINXP\system32\ADVAPI32.dll
C:\WINXP\system32\kernel32.dll
[svchost.exe]

UDP aleae:ntp *:* 1080
c:\winxp\system32\WS2_32.dll
c:\winxp\system32\w32time.dll
ntdll.dll
C:\WINXP\system32\kernel32.dll
[svchost.exe]

UDP aleae:1900 *:* 1244
c:\winxp\system32\WS2_32.dll
c:\winxp\system32\ssdpsrv.dll
C:\WINXP\system32\ADVAPI32.dll
C:\WINXP\system32\kernel32.dll
[svchost.exe]

UDP aleae:netbios-dgm *:* 4
[Sistema]

UDP aleae:netbios-ns *:* 4
[Sistema]

UDP aleae:ntp *:* 1080
c:\winxp\system32\WS2_32.dll
c:\winxp\system32\w32time.dll
ntdll.dll
C:\WINXP\system32\kernel32.dll
[svchost.exe]


C:\Documents and Settings\Maribel>


La única diferencia con cuando puse el post es que he instalado el norton.
Muchas gracias



"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:

Danos la salida completa para verla.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"maribel" wrote in message
news:u%23%23%

Hola, grupo.

Acabo de hacer una instalación limpia de XPSP2 desde un cd que monté
siguiendo las instrucciones de J.M. Tella Llop en www.multingles.net.

Todo parece ir bien, he hecho la instalación sin estar conectada a
internet y he dejado el FW de windows activado con la configuración por
defecto.

El caso es que ejecuto un netstat -bv y encuentro varios procesos que
están escuchando y que presentan la descripción más o menos como la que
sigue:

TCP aleae:netbios-ssn aleae:0 listening PID 4
- componentes desconocidos -
[Sistema]

También aparece esa descripción de "componentes desconocidos" en otras
conexiones, a veces sola, a veces acompañada de módulos del sistema como
Ws2_32.dll o alg.exe

Mi pregunta es, tras haber leído el artículo de JM Tella sobre la
utilidad de los nuevos parámetros en el netstat... Estos "componentes
desconocidos" ¿Son siempre indicador de tener algún tipo de script
malicioso ejecutándose en la máquina?¿Existe alguna otra posibilidad?

Ahora mismo no tengo instalado ningún software en el ordenador aparte del
adobe reader y el propio XP.

Muchas gracias de antemano