Construindo um CD para Verificação Offline de Malware
A Microsoft lançou ontem o Malware Removal Starter Kit, um guia com recomendações e ferramentas para ajudar a combater ataques de malware e restaurar sistemas infectados, feito para profissionais de TI. Ele aponta recursos para ajudar a preparar o seu plano de resposta a incidentes, identificar se o seu sistema pode estar com malware, e fazer a detecção e remoção.
Para mim o ponto mais interessante do guia é que ele ensina como fazer a criação de um CD bootável para fazer a verificação offline do sistema. A verificação offline é em princípio sempre mais eficiente do que uma verificação online, pelo fato do malware não estar em execução e assim não poder usar as mais diversas técnicas para se esconder. O guia ensina como preparar um CD bootável utilizando o WinPE e rodar a sua ferramenta de verificação favorita.
Aqui abaixo segue um resumo do que você precisa fazer (instruções completas aqui):
1. Instale o Windows Automated Installar Kit (AIK)
O AIK inclui o WinPE e os arquivos para construção do CD bootável, e está disponível para download no site da Microsoft. O download é na verdade uma imagem ISO de um DVD, e você vai precisar gravar a imagem em um DVD antes de fazer a instalaçao.
2. Obtenha as Ferramentas de Verificação
Pode ser utilizado qualquer ferramenta que roda a partir do WinPE. Foram testadas o avast! Virus Cleaner, o Mcafee AVERT Stinger, o MSRT da Microsoft e o Spybot Search & Destroy, mas outras também podem ser utilizadas.
3. Crie o CD de Verificação de Malware
Siga as instruções abaixo:
1. |
Entre no computador como administrador, clique Start, clique All Programs, clique Microsoft Windows AIK, e então clique Windows PE Tools Command Prompt.
|
2. |
No prompt de comandos, digite o seguinte comando para criar uma cópia da imagem x86 do WinPE e criar uma pasta de trabalho no seu computador: copype x86 c:\WinPE
|
3. |
Entre na pasta c:\WinPE e digite o seguinte comando para montar uma imagem WinPE.wim: imagex /mountrw winpe.wim 1 c:\WinPE\Mount
|
4. |
Digite o seguinte comando para carregar e acessar a registry do WinPE: reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system
|
5. |
Digite o seguinte comando para criar um disco de RAM de 96MB: reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f
|
6. |
Digite o seguinte comando para sair da registry do WinPE: reg unload HKLM\_WinPE_SYSTEM
|
7. |
Crie uma pasta para as ferramentas de verificação dentro da pasta Mount: mkdir c:\WinPE\mount\Tools
|
8. |
Copie as ferramentas de verificação para a pasta que você criou (Tools).
|
9. |
Digite o comando para preparar a imagem, e digite Yes depois para confirmar: peimg /prep c:\WinPE\Mount
|
10. |
Digite o seguinte comando para fechar a imagem do WinPE: imagex /unmount c:\WinPE\Mount /commit
|
11. |
Copie a nova imagem por cima da imagem anterior, digitando o comando e em seguida Yes para confirmar: copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim
|
12. |
Para criar a imagem ISO, digite o seguinte comando: oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso
|
13. |
Grave o arquivo ISO c:\WinPE\WinPE_Tools.iso em um CD-ROM.
|
Para testar, use o CD para iniciar um sistema e verifique que as ferramentas de verificação estão rodando corretamente. Você pode utilizar esse CD sempre que suspeitar que um computador está infectado com virus ou trojan. Lembre-se que as assinaturas utilizadas não são atualizadas quando você executa a verificação offline, e você precisa periodicamente atualizar as ferramentas e criar um novo CD.