1- indentificar a localização do arquivo (malware):
Propaganda
ANALISE DE MALWARES EM AMBIENTE WINDOWS XP Alguns MALWARES não são identificados pelos antivírus ou ferramentas de analise, os FIX'S, com isso os sistemas WINDOWS são facilmente atingidos com essas pragas, podem ser repassadas por arquivos anexados em email, mídias infectadas, as mais comuns são os pen drivers, cartões de memórias e outros. Para solucionar este inconveniente resolvi colocar alguns passos para identificar e remover as seguintes pragas do seu sistema. A primeira forma é obter informações que lhe ajude a identificar os MALWARES, a primeira etapa será utilizado o MSCONFIG: “MS-CONFIG é um utilitário presente nos sistemas operacionais da família Windows. Sua função é concentrar todas as configurações gerenciais necessárias do sistema operacional para que o mesmo possa executar seu trabalho, que vão nortear a forma de trabalho do próprio sistema operacional. Todas as configurações são feitas no próprio MS-CONFIG. Com Msconfig é possível gerenciar a carga inicial do sistema operacional, selecionando o modo que o sistema operacional Windows é carregado na memória, com quais drivers de dispositivos e serviços ele é carregado na memória principal, quais arquivos de inicialização do sistema operacional serão utilizados (system.ini, win.ini), serviços de sistemas e itens de inicialização, o que vai acarretar, diretamente, na sua funcionalidade. Muitos serviços e itens de inicialização são desnecessários ou subutilizados, de acordo com necessidades específicas dos usuários do computador. O problema é que o MS-CONFIG é padrão, e já vêm com uma série destes serviços e itens de inicialização ativados automaticamente. Com conhecimento técnico, pode-se desativar alguns destes serviços e itens, otimizando o uso do sistema operacional, e liberando área de memória virtual do computador para outros serviços, programas, ferramentas e aplicativos, melhorando o desempenho global do computador.” como mostram na figura 01 e 02. 1- IDENTIFICAR E A LOCALIZAÇÃO DO ARQUIVO (MALWARE): * usando o msconfig (na aba inicializar) para verificar os arquivos que iniciam junto com o Windows e verificando quais possíveis anomalias. INICIAR EXECUTAR MSCONFIG FIGURAS 01: MSCONFIG * usando o gerenciador de arquivos para listar os processos. • usando o process XP (na pasta pratica), tem a mesma finalidade do gerenciador de tarefas. DESCRIÇÃO DAS FIGURAS: 1- Item da inicialização: é o nome do software que irá inicializar ao ser carregado o WINDOWS; 2- Linha de comando: é a localização do software, geralmente são visualizados 2- ENTRAR NO MODO SEGURO • • Para eliminar os possíveis vírus, pois no MODO SEGURO são carregados as configurações padrão do WINDOWS. Reinicie o COMPUTADOR e aperte F8, F8 é o atalho para o menu de inicialização do WINDOWS, com ele pode – se inicializar o WINDOWS de diversas formas, tais como o MODO SEGURO, MODO SEGURO COM REDE, PROMPT DE COMANDOS, INICIALIZAÇÃO EM MODO VGA E OUTRAS CONFIGURAÇÕES. 3- VERIFICAR ARQUIVOS OCULTOS * A verificação é dada por uma analise preliminar do item 1, pois a essa analise pode apontar. As possíveis localizações. 4- EXECUTAR PROMPT DE COMANDOS (CMD). • Geralmente os malwares são programados para se auto-executar ao abrir determinada pasta, no entanto, os mesmo não executam automaticamente via MSDOS. Logo o MSDOS se torna uma ferramenta muito eficaz na remoção manual. Esse método é a ultima fronteira. Caminho: INICIAR --> EXECUTAR --> CMD 5- ENTRAR NA PASTA SYSTEM32 (LOCAL PREFERIDO) * SYSTEM32 é a pasta mais usada para a instalação dos malwares, pois eles têm se passar por arquivos legítimos do sistema, para que o usuário não perceba a sua presença. Comandos via MSDOS: CD\ CD WINDOWS\SYSTEM32 6- VERIFICAR OS ATRIBUTOS COM O CMD ATTRIB attrib |more ou attrib >> c: \attrib_<NOME>.txt 7- PARA ENCONTRAR UM MALWARE GERALMENTE ELE ESTARÁ COM OS ATRIBUTOS (SHR) 8- MUDAR OS ATRIBUTOS attrib -s -h -r +a nome_do_arquiv_MALICIOSO 9- DELETAR O ARQUIVO del /q <nome do arquivo> 10- USANDO O REGISTRO iniciar executar regedit NO REGISTRO DO WINDOWS PROCURE A CHAVE RUN NESSAS CHAVES PRATICAMENTE ENCONTRARÁS OS MALWARES PRONTOS PARA A INICIALIZAÇÃO QUANDO O WINDOWS FOR INICIADO. OBS: • PROCURE CONHECER OS PROCESSOS QUE INICIAM COM WINDOWS PARA TER MAIS SEGURANÇA NA HORA DA REMOÇÃO; • ESTE METODO SERVER PARA REMOÇÃO DE MALWARES TAMBEM NO PEN DRIVER. TESTE Existe um teste padrão que pode ser executado com simplicidade em qualquer PC afim de descobrir se seu anti-vírus é capaz de detectar um malware. Abrindo um aplicativo editor de textos que salve em formato puro (.txt) e digitando a sequência: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $H+H* Execute o anti-vírus. Caso ele não detecte o arquivo, seu anti-vírus é ineficiente. REFERENCIAS: http://technet.microsoft.com/en-us/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683.aspx http://www.guiadohardware.net/tutoriais/removendo-malware-raca/ http://pt.wikipedia.org/wiki/Msconfig http://pt.wikipedia.org/wiki/Malware MÁRCIO BENCID ANALISTA DE SISTEMAS ADMINISTRADOR DE REDES contato: [email protected] Este documento pode ser usado e copiado desde que seja faça a referência e mantido o autor original do documento,
