Como detectar malware com ferramentas b√°sicas

O controle das informa√ß√Ķes de entrada e sa√≠da de uma empresa √© considerado uma √≥tima maneira de se proteger contra muitos tipos de amea√ßas. A filtragem de escape evita que atividades maliciosas escapem da sua rede, como um membro da rede de bots tentando entrar em contato com o centro de controle para obter instru√ß√Ķes. Voc√™ pode usar algumas ferramentas gratuitas do Windows que podem ajudar a identificar amea√ßas em potencial<‚Ķ>

que serão gravados nos filtros de saída da sua rede.

Detectando uma ameaça em potencial Ao verificar o tráfego de dados de saída, você deve verificar regularmente os logs do seu firewall ou roteador, pois esses logs podem alertá-lo sobre qualquer atividade incomum.

Atividade incomum pode ocorrer com tentativas repetidas de um IP para conectar-se a endere√ßos externos por portas n√£o padr√£o ou tentar conectar-se a servidores em locais onde os usu√°rios normalmente n√£o t√™m motivos para se conectar. Tomemos, por exemplo, um dispositivo Windows tentando conectar-se a um endere√ßo IP na R√ļssia atrav√©s da porta UDP 12000.

Depois que a m√°quina de origem for detectada (e supondo que uma verifica√ß√£o completa com um antiv√≠rus totalmente atualizado n√£o revele nada), voc√™ poder√° usar o comando netstat para ver o estado das conex√Ķes de rede do computador. Usando netstat com -? fornece todas as op√ß√Ķes dispon√≠veis para o comando. Aqui est√£o alguns comandos que podem ser √ļteis para sua pesquisa:

Observe que, embora o uso do par√Ęmetro -b liste o arquivo execut√°vel respons√°vel por uma conex√£o, ele pode retardar a execu√ß√£o do comando e voc√™ pode perder a conex√£o espec√≠fica que est√° procurando. A apar√™ncia de endere√ßos e portas em formato num√©rico ajuda na legibilidade dos resultados.

Em nosso exemplo, gostar√≠amos apenas de ver as conex√Ķes que usam o protocolo UDP, portanto, usaremos o par√Ęmetro -p UDP em combina√ß√£o com -a, -o e -n. O resultado ser√° assim:

Usando o resultado do PID, podemos identificar o processo e os programas relacionados usando o Gerenciador de Tarefas do Windows.

Em alguns casos, a fun√ß√£o netstat √© suficiente para identificar o processo e o arquivo execut√°vel respons√°vel pela conex√£o. √Äs vezes, no entanto, os resultados do netstat podem ser enganosos: em nosso exemplo, o processo respons√°vel pela conex√£o est√° se mostrando explorer.exe, o execut√°vel do shell do Windows. “Verificar” o arquivo execut√°vel via Virus Total (http://www.virustotal.com) mostra que o arquivo est√° limpo e, comparando-o a uma m√°quina limpa, parece que n√£o foi comprometido. Mas algo mais est√° acontecendo neste exemplo.

ProcessMonitorProcessMonitor (procmon- http://technet.microsoft.com/en-us/sysinternals/bb896645) é uma ferramenta do Windows da Sysinternals que permite visualizar em tempo real todas as atividades do sistema de arquivos, registro e e os procedimentos para uma máquina. Depois de iniciar o procmon.exe, ele começará a gravar os eventos imediatamente. Você pode salvar os resultados em um arquivo de log para revisão futura, se desejar.

Sabemos pelos resultados do netstat que o Explorer.exe est√° por tr√°s dos esfor√ßos de conex√£o. Usando o monitor de processo, um filtro pode ser criado para mostrar apenas a atividade do arquivo explorer.exe. Clique com o bot√£o direito do mouse em explorer.exe e selecione Incluir ‘Explorer.EXE’. Isso ignora todos os outros execut√°veis:

Agora você pode ver que a tentativa de conexão foi detectada:

Examinando o trabalho realizado pelo explorer.exe logo antes de tentar a conexão, uma posição incomum aparece:

Parece que o explorer.exe est√° tentando ler as informa√ß√Ķes no registro que levam a um arquivo na lixeira. N√£o √© incomum que malware tente ocultar sua presen√ßa em um sistema. O arquivo de controle Total de v√≠rus mostra que algumas das m√°quinas de verifica√ß√£o usadas confirmam que essa √© uma variante de um Trojan mais antigo, mas diferente o suficiente para evitar ser detectada pelo software atual de prote√ß√£o contra v√≠rus.

Embora este tenha sido um exemplo r√°pido, esperamos que as ferramentas e etapas descritas aqui sejam √ļteis para detectar amea√ßas que poderiam passar despercebidas.