EXTRAÇÃO

Agora iremos obter os resultados após a infecção do sistema com o malware escolhido.

1-Process Explorer

Ao comparar os processos antes e após a infecção percebemos algumas modificações suspeitas. Apareceu um novo processo winsys32.exe (dentro de C:\Windows), executado no Startup do menu Iniciar. Um outro processo com o mesmo nome do CSRSS.exe também apareceu se apropriando do Explorer.exe e seus processos parentes. Apesar do nome idêntico ao do original, este possui as letras todas maiúsculas e o arquivo executável fica na pasta C:\Windows\System32\NtfsDriver. Nenhum desses dois processos possui assinatura verificável.

2-Autoruns

o Autoruns conseguiu perceber as três modificações realizadas, sendo duas no registro e uma no menu de autoinicialização. Ao comparar o relatório inicial com o atual o mesmo avisou conforme vemos na figura abaixo:

Percebemos então que o arquivo winsys32.exe é executado duas vezes. Uma no registro e outra no startup do menu Iniciar.

3-TCPView

Podemos através do TCPview verificar que o processo winsys32.exe tomou posse da porta UDP 1026, que era uma porta aberta naturalmente pelo sistema e fez com que o respectivo processo que antes utilizava essa porta passasse para outra, dessa forma camuflando seu tráfego longe de portas suspeitas. Provavelmente a porta foi aberta para o envio de informações, uma vez que o mesmo não está escutando requisições de conexão na mesma.

lsass.exe:660 UDP estacao1:isakmp *:*

svchost.exe:1092 UDP estacao1:1031 *:*

svchost.exe:1156 TCP estacao1:5000 estacao1:0 LISTENING

svchost.exe:1156 UDP estacao1:1900 *:*

svchost.exe:1156 UDP estacao1:1900 *:*

svchost.exe:824 TCP estacao1:epmap estacao1:0 LISTENING

svchost.exe:824 UDP estacao1:epmap *:*

svchost.exe:952 TCP estacao1:1025 estacao1:0 LISTENING

svchost.exe:952 UDP estacao1:1027 *:*

svchost.exe:952 UDP estacao1:ntp *:*

svchost.exe:952 UDP estacao1:ntp *:*

System:4 TCP estacao1:microsoft-ds estacao1:0 LISTENING

System:4 TCP estacao1:netbios-ssn estacao1:0 LISTENING

System:4 UDP estacao1:microsoft-ds *:*

System:4 UDP estacao1:netbios-ns *:*

System:4 UDP estacao1:netbios-dgm *:*

winsys32.exe:1668 UDP estacao1:1026 *:*

4-AccessEnum

O AccessEnum não detectou a modificação feita no registro. Uma vez que esse programa detecta entradas apagadas ou acrescidas, a modificação feita pelo malware passou despercebida. É por causa dessas situações que recomenda-se a utilização de redundância nas análises.

5-RootkitRevealer

Nenhuma discrepância foi encontrada.

6-ShareEnum

Nenhum compartilhamento foi criado.

7-Diskview

Foi detectada a criação de mais três arquivos que não existiam originalmente. Já identificamos dois com as ferramentas utilizadas até agora. Falta encontrar qual é esse terceiro arquivo criado pelo malware.

8-HijackThis

Foi a ferramenta que melhor detalhou a ameaça, mostrando as chaves de registros e os processos criados com o endereços dos arquivos. Inclusive o terceiro arquivo cdromxis.dll até agora não encontrado.


Logfile of HijackThis v1.99.1
Scan saved at 13:15:09, on 28/2/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NtfsDriver\CSRSS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\winsys32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\bin\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\NtfsDriver\CSRSS.EXE,
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASVR4] C:\WINDOWS\winsys32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: winsys32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O20 - Winlogon Notify: amber - C:\WINDOWS\SYSTEM32\cdromxis.dll
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll

9-Md5

Os hashes obtidos não foram alterados, podemos deduzir que os arquivos não foram modificados pelo código malicioso.

7DE395D7B1F0C5C0BA2635BB01D0F5C8 e:\Blog\Originais\explorer.exe

A3975A7D2C98B30A2AE010754FFB9392 e:\Blog\Originais\explorer.scf

4BFF9ADB45335E88BD1D69752C8B26AC e:\Blog\Originais\NOTEPAD.EXE

CAFBB682B37B464BE0E3C26EE9A66391 e:\Blog\Originais\regedit.exe

2517B5DA22104857C8266DF762D60139 e:\Blog\Originais\TASKMAN.EXE

As outras ferramentas utilizadas não acrescentaram novas informações a respeito dos códigos estudados.