A investigação e perícia de malwares é complexa e pode não chegar a um resultado positivo. Nenhum método é autossuficiente e a combinação de técnicas pode ser altamente produtiva para os resultados. Apresentaremos a seguir as técnicas mais utilizadas para este tipo de trabalho e os aspectos de cada uma delas.

1. Análise das possíveis fontes de infecção – Uma alternativa bastante plausível mas nem sempre possível, é a realização de uma análise nas possíveis fontes de infecção do malware. E o correio eletrônico da vítima ou dos usuários do equipamento suspeito é uma dessas fontes potenciais. Se o correio eletrônico é acessado por software cliente, todo o conteúdo pode estar no próprio equipamento a ser analisado. Mas se o correio é acessado através de webmail, é necessário conhecer as informações de acesso (nome de usuário e senha) e ter o consentimento do usuário para realizar o acesso a sua caixa de mensagens e assim realizar os devidos exames. A análise das mensagens pode apontar a fonte da infecção e o foco principal são as mensagens de phishing, aquelas que têm como objetivo levar o usuário a baixar um arquivo contaminado, direcioná-lo a um falso site, etc. Entretanto, mesmo que as encontremos, não significa que o equipamento esteja contaminado.
2. Softwares antivírus, antispyware, etc. – Esta segunda opção consiste em submeter a mídia onde está o instalado o sistema ou o arquivo suspeito de estar infectado com o malware a programas antivírus. Conforme disse anteriormente, alguns destes conseguem manter-se sem serem descobertos, o que torna a eficácia deste método questionável, principalmente quando se trata de malwares mais elaborados. Esta técnica limita-se apenas ao encontro dos arquivos infectados. Nos casos em que o perito possua um arquivo suspeito, pode recorrer a serviços de verificação de arquivos como o Virus Total (https://www.virustotal.com), que também verifica URLs, ou o verificador de malwares do Jotti (http://virusscan.jotti.org). Ambos utilizam os engines de diversos antivírus do mercado. A utilização de antivírus deve ser precedida do bloqueio de escrita, de forma que não sejam produzidas alterações na mídia em análise. Uma imagem pericial pode ser montada como um dispositivo anexado à estação pericial e submetido ao processo de varredura, preservando a mídia de prova.
3. Análise de processos – O malware pode ser localizado em um processo suspeito/desconhecido. No Windows, o comando netstat -b lista os processos carregados na memória, indicando o executável responsável por cada conexão e a respectiva porta.
4. Hashsets – A utilização de hashsets é muito mais eficaz, mas também não oferece 100% de segurança, já que é necessário a manutenção diária desses hashsets de forma a sempre acrescentar novos valores a esta base de assinatura de arquivos. Esta técnica também limita-se apenas ao encontro dos arquivos infectados.
5. Análise de tráfego de dados – É a técnica mais complexa, que também oferece bons resultados, visto que a ação de apropriar-se de dados e enviar a um destinatário pode ser identificada e nos fornecer elementos suficientes para que a origem e a autoria sejam identificadas. Esta técnica requer a preparação de uma infra-estrutura adequada e a posse do equipamento suspeito. A infra exige um segmento de rede conectado a um hub ou a um switch com recurso de port mirroring (permite a duplicação de tráfego de uma porta para outra), acesso internet, estação com software de captura e análise de tráfego (como o Wireshark) e o equipamento suspeito. Existe a alternativa de fazer uma imagem da mídia deste equipamento e através do Live View, carregá-lo como uma máquina virtual. Entretanto alguns malwares detectam o ambiente virtual e permanecem inativos, prejudicando o exame.

As quatro primeiras técnicas nos levam a determinar se o equipamento estava ou não comprometido, mas a determinação de autoria só seria possível após outra série de procedimentos. A quinta técnica, além de poder exibir o malware em ação, pode também nos mostrar a origem e ajudar a determinar a autoria.

O acesso direto aos arquivos suspeitos, através de técnicas de engenharia reversa, pode ajudar a determinar uma série de informações importantes para se estabelecer a origem e a autoria da ação.

Como vimos, existem algumas técnicas que auxiliam o exame de malwares mas nenhuma delas possui eficácia total. O importante é tentar obter informações sobre o problema relatado, de forma que possamos direcionar os exames, reduzindo tempo gasto e aumentando a probabilidade de êxito. Até o próximo.