COLETA

Inicialmente, iremos obter a imagem inicial do sistema, antes das modificações executadas por códigos maliciosos.

1-Process Explorer

Esta ferramenta para gerenciamento dos processos em andamento é a primeira a ser coletada em nosso caso. Observamos que todos são os processos listados são comuns, com assinaturas devidamente verificadas.

Normalmente, os malwares vão modificar essa lista de processos, ou criando processos novos, ou modificando os já existentes, nesse caso as assinaturas vão aparecer como "não verificadas", o que torna o mesmo suspeito.

2-Autoruns

Essa ferramenta relaciona todos os itens inicializados com o sistema, sejam processos, chaves de registro, drivers, etc.

Para que o malware não seja eliminado durante a reinicialização do sistema, eles normalmente se infiltram em algum desses itens, de forma que sejam sempre inciados junto com o sistema, dessa forma a máquina fica permanentemente infectada. Na comparação com o estado posterior, o programa vai evidenciar as possíveis alterações.

Marcaremos a opção no menu “options – Verify Code Signatures” e depois um “refresh” antes de salvarmos o estado atual.

3-TCPView

Aqui conseguiremos um retrato das conexões TCP e UDP abertas em nosso sistema. Qualquer invasor que queria entrar em nosso sistema, ou obter informações do mesmo tem de utilizar essas portas para movimentar os dados.

4-AccessEnum

Com essa ferramenta geramos um relatório com um detalhamento de pastas importantes (ex: C:\Windows) e também do registro. Caso alguma chave ou arquivo sejam acrescentados ao relatório inicial, o programa acusará as diferenças na comparação.

5-RootkitRevealer

O resultado obtido foi vazio, pois nenhum aquivo instalado no sistema se assemelha ao comportamento de um Rootkit.

6-ShareEnum

O foi vazio, uma vez que não há compartilhamentos no estado inicial.

7-Diskview

Conforme a figura abaixo, o programa exibe o estado atual do disco. As estatísticas do mesmo demonstram 42.41% de espaço livre, 8952 arquivos e 9827 fragmentos.

8-HijackThis

A utilização do HijackThis pode parecer redundante nesse caso, mas o mesmo facilita muito a identificação e remoção automática de malwares e é uma ferramenta muito útil em nossa perícia. É também muito útil na remoção de BrowserHijackers e DNSHijackers.

Segue abaixo o log inicial obtido:

Logfile of HijackThis v1.99.1
Scan saved at 22:05:19, on 12/2/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
D:\bin\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll

9-Md5

O intuito de utilizarmos o md5 é gerar hashes dos principais arquivos do sistema. A comparação posterior permitirá identificar quaisquer alterações nos mesmos. Muitos malwares substituem ou modificam os arquivos de sistema originais com o intuito de dificultar sua identificação. Como qualquer byte modificado vai fazer com que o md5 gere um hash completamente diferente, saberemos se os arquivos foram modificados.

7DE395D7B1F0C5C0BA2635BB01D0F5C8 e:\Blog\Originais\explorer.exe
A3975A7D2C98B30A2AE010754FFB9392 e:\Blog\Originais\explorer.scf
4BFF9ADB45335E88BD1D69752C8B26AC e:\Blog\Originais\NOTEPAD.EXE
CAFBB682B37B464BE0E3C26EE9A66391 e:\Blog\Originais\regedit.exe
2517B5DA22104857C8266DF762D60139 e:\Blog\Originais\TASKMAN.EXE

10-Encase

É sem dúvida a ferramenta mais completa para análise forense. Com ele vamos criar uma imagem do disco e de todas as modificações realizadas no mesmo com imenso detalhamento.

Também utilizaremos as seguintes ferramentas Everest, Disktective, LoadOrder, NTFSinfo e LogonSessions. Muitas dessas ferramentas visam gerar redundância nas informações obtidas, dessa forma evitamos que malwares criados com práticas antiforense para uma determinada ferramenta consigam passar despercebidos.