De acordo com os comparativos estudados durante a extração, nossos estudos levaram a identificação de 3 arquivos e 1 pasta criados, devidamente identificados abaixo. Também foram criadas duas entradas no registro e um item foi acrescentado ao Startup do menu Iniciar.
C:\Windows\winsys32.exe
C:\Windows\System32\NtfsDriver\CSRSS.EXE
C:\WINDOWS\SYSTEM32\cdromxis.dll
C:\Windows\System32\NtfsDriver
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar
Somente o processo winsys32.exe pode ser finalizado pelo gerenciador de tarefas. Como o CSRSS se apossou do Explorer.exe, ele não permite a sua remoção da memória nem do arquivo cdromxis.dll. Contudo, com o Hijackthis podemos consertar as entradas de todos eles no registro e no menu iniciar, de forma que os mesmos não sejam executados na inicialização do sistema.
Dessa forma as ameaças foram eliminadas com facilidade apenas reiniciando a máquina e em seguida deletando os arquivos e pasta identificados acima
A imunização do sistema pode ser obtida com a utilização de um antívírus comercial, pois se tratam de malwares já bastante conhecidos e catalogados. Os seguintes produtos detectaram e removeram sem problema o código:
Avast Antivirus Professional 4.8.1229
AVG Antiviurs 8
ESET NOD32 Antivirus 3.0.642.0
Com o sistema limpo e imunizado, precisamos agora identificar o intuito do autor do código.
Para isso precisamos da ferramenta Encase. Deixamos a mesma para o final devido a sua complexidade. Como pudemos perceber, as ferramentas utilizadas até então já identificaram as modificações mais aparentes realizadas pelo código malicioso, cabe ao analista agora mergulhar mais profundamente nessas alterações para entender o funcionamento das mesmas e poder deduzir o objetivo do criador do malware.
Primeiramente, vamos criar um Case no nosso disco de evidências (E:\). Neste case vamos utilizar o comando "acquire" para adquirir a imagem do disco local onde o sistema está instalado (C:\). Uma vez terminado esse processo, teremos a imagem do sistema com seu devido hash gerado. Poderemos então investigar a fundo todos os arquivos instalados, bem como as modificações realizadas no timeline.
O excesso de informação é um fator que pode prejudicar o sucesso desse estudo, então devemos ser objetivos, indo direto aos arquivos maliciosos já identificados e analisar sua estrutura na busca de alguma informação útil.
Percebemos ao analisar o arquivo CSRSS.exe que o mesmo possui em seu conteúdo menção à utilização do HiBit, software de esteganografia utilizado em práticas antiforenses. Se o autor do código utilizou essa ferramenta, o trabalho do perito fica muito mais difícil.
Nenhum comentário:
Postar um comentário