Rastrear a atividade de um arquivo dentro de um sistema

Agosto 2017


Para completar esta dica e aprofundar as buscas sobre a legitimidade de um arquivo ou processo suspeito, você pode, através das ferramentas on-line, rastrear seus componentes. Através desses sites, você poderá simular, virtualmente, a execução de um arquivo suspeito dentro de um sistema e, assim, efetuar um relatório detalhado sobre ele. Para compreender e interpretar todos os resultados da análise é preciso ter um excelente conhecimento do funcionamento do Windows. No entanto, essas ferramentas on-line, são tão acessíveis aos curiosos que querem ter uma visão geral da ação de um executável, quanto à uma pessoa avisada, que quer obter informações mais aprofundadas.

Nesta dica, nós propomos dissecar, como exemplo, os resultados da análise do arquivo patch.exe no site Anubis, para ilustrar os diversos campos de pesquisa, que este site propões on-line.

Observação : este site, assim como várias outras ferramentas on-line, é em inglês! ...


Exemplo : resultados da análise do arquivo patch.exe


1) Resumo-Summary :

No cabeçalho do relatório, temos um breve resumo da análise, com um código de cores indicando o grau de risco em algumas alterações do sistema, avaliadas pelo site.



Aqui, nós temos, em ordem:
  • Mudança das configurações de segurança do IE: Essa mudança do sistema pode afetar, seriamente, a segurança da navegação na net. Risco avaliado: pastilha laranja.
  • Alteração e destruição da pasta: O executável altera e destrói as pastas que não são temporárias. Risco avaliado: pastilha vermelha.
  • Processos gerados: O executável cria processos durante sua execução. Risco avaliado: pastilha amarela.
  • Atividade do registro: O executável lê e altera os valores do registro. Ele também pode criar e monitorar as chaves do registro. Risco avaliado: pastilha amarela.


2) ?ndice analítico: o índice analítico resume as ações enumeradas do processo patch.exe, assim como os diversos processos criados ou solicitados, durante sua execução.



No nosso exemplo, o índice analítico nos indica que a execução do arquivo patch.exe provocou a execução desses outros arquivos: evbmy.exe, oojrg.exe, wwry.exe, rssgwysf.exe, e cmd.exe.

3) Informações gerais sobre o Anubis:



Nesta parte, nós temos informações gerais sobre o site, aqui, na ordem:
  • A duração necessária para a análise do arquivo.
  • A data e hora da criação do relatório.
  • A razão dada para concluir a varredura.
  • A versão do programa utilizada pelo site.


4) atividade de rede - Network Activity :



Esta parte do relatório nos informa sobre as atividades ligadas à rede, aqui, Anubis detecta tentativas de conexão à rede, na porta 53.

5) 2. Patch.exe



Aqui, temos informações sobre o arquivo submetido à análise, na ordem:
  • Razão da análise: arquivo submetido à uma análise.
  • Nome do arquivo: patche.exe
  • MD5: algoritmo para obter a impressão digital, característica e única, de uma quantia fixa de dados de um arquivo (função de hash criptográfico).
  • SHA-1: outra função de hash criptográfico.
  • Tamanho do arquivo
  • Linha de comando
  • Estado do arquivo no final da simulação: aqui, dead significa que o arquivo não estará mais ativo, quando o rastreamento terminar.
  • Código retornado no final da análise


6) Carregando vínculo dinâmico - Load-time Dlls
:



Aqui, o relatório nos informa sobre como chamar as funções dos arquivos.dll, feito pelo sistema, que serão necessários ao funcionamento do vírus, chamada das funções realizadas durante a compilação do código deste último.

7) Execução do vínculo dinâmico - Run-time Dlls
:



Neste nível, o relatório nos informa sobre a importação das funções do arquivo.dll pelo executável, outras funções, das quais, ele precisará, para o seu funcionamento.

8) Módulo de varredura do antivírus do Ikarus integrado ao Anubis
:



Aqui, nós temos o resultado da análise do antivírus integrado ao site Anubis.

9) 2.a) patch.exe - Atividades do registro :

Os valores alterados do registre :


Aqui, o relatório fala sobre as alterações realizadas pelo vírus no registro do sistema. Neste nível, será preciso um profundo conhecimento do funcionamento do Registro do sistema, para compreender e distinguir entre uma chave adicionada pelo vírus, ou uma chave modificada, visando alterar as configurações de segurança do sistema, por exemplo.

Chaves do registro lidas:



Aqui, o relatório indica os valores das chaves lidas pelo vírus.

Chaves do registro monitoradas :



Aqui, são listadas todas as chaves, ou valores, do registro, monitoradas, em tempo real, pelo vírus.

10) 2.b) patch.exe - Atividade do arquivo


Arquivos criados: visíveis aqui nos arquivos temporários da internet.



Arquivos lidos:



Aqui, temos a lista dos arquivos onde o vírus executou ou leu os conteúdos, ou seja, onde encontraremos tantos arquivos sãos quanto arquivos relativos, necessários ao processo de infecção.

Arquivos modificados:



Nesta parte, temos arquivos baixados pela infecção, que encontramos, aqui, em arquivos temporários da Internet, daí a palavra "arquivos modificados" dos arquivos temporários.

A seguir, temos três módulos nos informando sobre outros arquivos ou drivers, solicitados pelo vírus, durante a sua execução.

11) 2.c) patch.exe - Atividades do processo
:

Processos criados :



Aqui, serão listados os arquivos criados, ou solicitados, pelo arquivo patch.exe

A seguir, o relatório fornece outras informações sobre as ações dos arquivos criados, ou utilizados, pelo patch.exe

12) 2.d) patch.exe - Atividade de rede:



Nesta parte, o relatório enumera todos os nomes de domínio (contidos no código do vírus) testados. Se a resposta for positiva, o servidor DNS convertirá esses nomes de domínio em endereços IP, que o relatório mencionará.

Conexão HTTP:



Aqui, o vírus verifica se as páginas, nas quais ele vai tentar se conectar, existem. Se as páginas existem, e que a conexão foi estabelecida com sucesso, o vírus poderá, então, "tranquilamente", começar a baixar novos arquivos infectados, sem o conhecimento do usuário.

Tráfego TCP desconhecido e tentativas de conexão TCP:



Depois de ter realçado uma troca de dados (aqui arquivos.exe) com a rede externa, Anúbis resume das tentativas de conexões TCP de saída, na porta 80.

13) 2.e) Patch.exe - Outras atividades:

Mutexes (Exclusões mútuas) criadas:



Aqui estão listadas as "mutexes" criadas pelo vírus, a fim de "regular" a sua atividade e evitar que muitas de suas ações se executem ao mesmo tempo, o que poderia afetar o seu " bom funcionamento", ou até, um "crash" do sistema.



Esta parte é o resumo da gestão de exceções, isto é, dos eventos inesperados ou aqueles passíveis de perturbar o desenvolvimento normal de um processo.

14) 3.Evbmy.exe : Passaremos, agora, à segunda parte do relatório que vai nos informar sobre as atividades dos arquivos criados pelo arquivo patch.exe, também rastreados.



Aqui, encontramos as informações gerais sobre o arquivo evbmy.exe :
  • Razão da análise : processo iniciado pelo arquivo patch.exe
  • Nome do arquivo: evbmy.exe
  • Estado do arquivo no final da simulação: aqui, alive significa que o processo ainda está em curso de execução, no final da análise.
  • Código retornado no final da análise.


Tudo de novo! A seguir, Anubis fornecerá informações sobre os arquivos-filhos, baseadas nos mesmos critérios da análise.

Limites dessas ferramentas on-line


Estas ferramentas on-line, apesar de fornecerem informações valiosas sobre as ações de um arquivo, não são, infelizmente, isentas de falhas, e podem revelar-se totalmente ineficazes em alguns arquivos infectados, submetidos à análise. Na verdade, alguns arquivos "imunizados" podem determinar se eles são executados em um ambiente virtual ou se eles foram rastreados, e neste caso, o relatório não fornecerá qualquer informação relevante.

Um exemplo de arquivo, capaz de combater este tipo de análise, é ilustrado pelo dropper do Virut :



Neste exemplo, a análise não pôde ser concluída; então, talvez seja impossível retraçar o comportamento de certos arquivos infectados.

Outros endereços


Veja uma lista dos sites que propõem um serviço equivalente, oferecendo relatórios, mais ou menos, detalhados e, possibilitando a análise de vários tipos de arquivo:

Veja também

Artigo original publicado por . Tradução feita por pintuda. Última modificação: 15 de janeiro de 2012 às 07:54 por pintuda.
Este documento, intitulado 'Rastrear a atividade de um arquivo dentro de um sistema', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.