Muchas gracias por responder.
La verdad es que es de gran utilidad el hecho de ver el ejecutable que hay detrás de cada conexión, no entiendo como suelo leer en google que se haga un netstat -an y se verán las conexiones activas, etc, y en ningún sitio había visto estas opciones.

Mea culpa porque miré la ayuda de netstat en el símbolo del sistem pero no muy exhaustivamente.

Muchas gracias por tu tiempo!

De todas maneras me gustaría insistir en la segunda parte de mi duda, que cito textualmente:

" En caso de que el puerto 912 fuera un programa servidor de Troyano, y el atacante tuviera en su pc la parte cliente del troyano que ha infectado mi ordenador, no necesitaría hacer mi atacante NAT en mi router hacia el puerto 912 , ya que yo como víctima soy el servidor y él como atacante es el cliente del programa Troyano? "

Muchas gracias por tercera vez !!!