¿Puede un caballo de Troya ocultar su actividad de TCPView ?
He investigado un poco antes de preguntar, pero aún no puedo encontrar la respuesta para esto.
Sé que un caballo de Troya puede ocultarse del Administrador de tareas de Windows a través de varios métodos. Además, con menos frecuencia, puede ocultar su actividad del comando netstat
(en su mayoría, reemplaza el programa con su propia versión) . Supongo que es menos frecuente porque (espero) cualquier protección y alerta antivirus no comprometida por cambios en los archivos del sistema (no estoy seguro de que sea ingenuo).
Aunque, si el troyano utiliza un proceso de Windows (no su propio nombre) para conectarse a Internet, muchas veces puede identificar lo que no es una conexión esperada a alguna dirección IP aleatoria.
Muchos sitios web recomiendan usar TCPView para buscar conexiones inusuales, y me pregunto si un troyano puede ocultar su actividad de TCPView. No estoy seguro de si TCPView es solo una interfaz gráfica que utiliza el programa netstat. En ese caso, si hay algún método para ocultarlo de netstat
, estará oculto de TCPView, por supuesto.
No creo que un caballo de Troya esté codificado específicamente para ocultarse de TCPView (¿o es TCPView tan popular que esto sucede?), pero tal vez haya un método para ocultar su actividad de cualquier programa que intente verificar el actual Conexiones de Internet (incluso Wireshark ) y para ocultar qué programas o procesos de Windows (incluso svchost
o sistema) también están estableciendo esas conexiones.
Si conoce métodos específicos utilizados para ocultarse de TCPView, ¿podría mencionarlos?
Quiero saber esto, porque no estoy seguro de que usar TCPView o Wireshark para buscar conexiones inusuales sea una prueba a prueba de balas para confirmar esa actividad.