Tengo una máquina con Windows 8.1 que parece estar actuando de manera extraña y se está volviendo lenta día a día. Creo que puede ser una víctima de la infección del Trojan de acceso remoto (RAT).
¿Cómo escucho los puertos en mi PC y cómo los cierro si es necesario?
¿Cómo deduzco que un puerto está asociado con una RAT y cómo lo cierro? ¿Netstat será de alguna utilidad en este sentido?
En primer lugar, debe verificar que su firewall esté habilitado en Windows. Asegúrate de que no tenga ninguna excepción rara en ella. En segundo lugar, instale y ejecute el (los) escáner (es) de antivirus para todo el sistema. Puede ejecutar 'netstat -aon' desde el símbolo del sistema para ver todos los puertos de "escucha". También puedes verificar en el administrador de tareas si tienes algún proceso extraño ejecutándose con privilegios de SISTEMA, incluso algo que suene benigno como "notepad.exe". Aunque, si el autor te ha infectado con un rootkit, todo puede parecer normal y no puedes encontrar nada sospechoso usando los métodos anteriores. En ese caso, solo podría utilizar el monitoreo y análisis de tráfico para detectar cualquier anomalía en él.
A menudo, el malware puede intentar enmascararse, por lo que si está comprometido, puede ser difícil de detectar en el propio sistema. No sé mucho sobre el uso de este sistema, pero moverlo cada vez más despacio podría significar un adware si se navega por muchos sitios web. Sigue siendo un tanto malicioso, pero no es lo mismo que un RAT. Podría considerar realizar una búsqueda y destruir spybot o malwarebytes para ver si encuentran algo interesante. El explorador de procesos podría ayudarte a localizar procesos extraños. También puede ejecutar algo como wireshark y ver el tráfico de red que sale del dispositivo. Usted podría detectar algo sospechoso allí, pero, por supuesto, ejecutarlo con todo lo demás cerrado para eliminar el ruido. Esto puede ser simplemente otro problema subyacente del sistema operativo y no ser malicioso; puede intentar ejecutar una recuperación del sistema operativo en el sistema y ver si se resuelve. Si esto fuera en un entorno corporativo y pudiera cambiar mi infraestructura, intentaría configurar un puerto SPAN y capturar el tráfico que se origina en ese host para poder ver lo que está haciendo, de una manera que el malware no podría alterar.
Necesitará un concentrador Ethernet, no un conmutador (disponible a bajo costo en eBay) y una segunda computadora. Conecte la computadora Win8.1 en el concentrador y conecte su conexión a Internet también en el concentrador. La computadora Win8.1 ahora tiene conectividad a través del concentrador.
Descargue Wireshark en la segunda computadora e instálela. Enchufe la segunda computadora también en el hub, inicie Wireshark y póngala en modo promiscuo. Configure un filtro para ver solo la dirección IP de la computadora Win8.1.
Ahora podrá supervisar todo el tráfico entrante y saliente en esa computadora. Sepa que hay una "conversación" normal incluso cuando se supone que una computadora está inactiva, por lo que tendrá que intentar separar esa conversación de cualquier tráfico malicioso.
Si la computadora sospechosa es parte de una botnet, es posible que veas un gran volumen de tráfico. Eso es malo. Si se está ejecutando un keylogger o tal, tal vez no. Inicie sesión en un sitio sin importancia y vea qué sucede. (tm) (Cambie su contraseña en el "sitio sin importancia" inmediatamente después, y desde una computadora diferente.)
Si encuentra evidencia de malware, hay programas de limpieza mencionados en las otras respuestas. Curso más seguro: haga una copia de seguridad de sus datos y vuelva a instalar el sistema operativo después de formatear el disco con un CD de arranque.
Lea otras preguntas en las etiquetas malware remote-desktop