To bardzo prawdopodobne. Robaki internetowe rozpowszechniają się, wykorzystując błędy w oprogramowaniu oraz sieć komputerową. Analiza połączeń sieciowych pozwala dość szybko zorientować się, czy jakiś nieuprawniony program nie łączy się z innymi komputerami w Internecie. Być może w ten sam sposób uda się wykryć różnego rodzaju backdoory, konie trojańskie i oprogramowanie szpiegujące.

Do analizy połączeń sieciowych i otwartych portów możemy wykorzystać systemowy netstat lub program TCPView. Ten ostatni dostarcza podobnego zestawu informacji co netstat, robi to jednak zdecydowanie szybciej, a lista wyników jest bardziej czytelna. Dostępna jest również wersja Tcpvcon, działająca z wiersza poleceń.

TCPView wyświetla listę aktywnych połączeń TCP/UDP z informacją o adresie IP lokalnego i zdalnego komputera oraz stanem połączenia TCP. Aplikacja rozwiązuje adresy IP na ich nazwy domenowe (opcja Resolve Addresses). Domyślnie lista połączeń odświeżana jest co 5 sekund. Aby to zmienić, przechodzimy do menu View | Update Speed. TCPView pokazuje także, jaki proces nawiązał dane połączenie.

Aby wykryć robaka, zamykamy wszystkie aplikacje, a następnie śledzimy połączenia, analizując wartości w kolumnach Stan połączenia (State) oraz liczbę wysłanych i odebranych pakietów (Sent Packets, Rcvd Packets). Jeśli jakiś pakiet odbiera lub wysyła dane, zapisujemy jego nazwę, po czym próbujemy za pomocą wyszukiwarki internetowej znaleźć dodatkowe informacje na jego temat.