-->

sexta-feira, 17 de outubro de 2008

Análise do vírus adiada

Como as descobertas que fiz na primeira parte da análise não explicam como o virus executava automaticamente no meu sistema (não encontrei nenhum arquivo infectado que pudesse estar executando até no Modo de Segurança), a segunda parte da minha análise do vírus envolvia infectar um sistema de propósito para observar o comportamento do FDP.

Fiz uma instalação nova do Windows XP, instalei antivirus, firewall configurado para modo "learning" e ferramentas para análise de modificações no sistema de arquivos e no Registro. Quando estava tudo pronto, executei vários arquivos infectados.

Nada.

Executei tanto amostras que ainda não são identificadas por antivirus quanto amostras que o Avira detecta, mas o virus não se ativou. Nenhum arquivo do disco ou no pendrive foi modificado, assim como nenhuma modificação suspeita no Registro ocorreu. Tentei inclusive o mesmo executável que infectou o meu PC principal. Nada.

A única coisa claramente diferente entre a minha "isca" e os dois computadores que foram infectados é que na isca eu instalei o XP SP3 e os infectados tinham XP SP2. Esse me parece um motivo muito fraco para um File Infector sequer iniciar a operação mas é a única pista concreta que tenho no momento. Como a recuperação do meu computador principal (e por tabela todas as minhas outras atividades) está muito atrasada, preparar uma nova isca vai ter que esperar. As centenas de amostras do vírus que tenho aqui não vão a lugar algum mesmo.

Edit: Esta estória se desenrola por esses outros posts:

Nenhum comentário:

Postar um comentário

Siga as regras do blog ou seu comentário será ignorado.