Me dieron una muestra de medios USB infectados con virus, que se vendieron a un cliente y se suponía que estaban vacíos.
Hay un archivo EXE comprimido de UPX de 364 kB; de hexdumping el ejecutable encontré un nombre nedwp.exe
. La auditoría de Foremost me dio una marca de tiempo del 23/09/1984 19:12:23 para ese archivo. Más bien improbable, debido a que el archivo también contiene una cadena "BitDefender" y supongo que no existía en los años 80, por lo que la marca de tiempo es seguramente falsa.
También hay un archivo DLL de 73 kB con marca de fecha 06/08/2010 09:59:36, lo cual es más probable.
También hay un archivo autorun.conf de aspecto sombrío con un texto aleatorio similar a Base64, luego un texto de secuencia de comandos de ejecución automática normal que hace referencia al archivo EXE mencionado anteriormente, y más elementos no utilizados de Base64.
Clam-AV dijo esto:
$ clamscan -r .
./RECYCLER/S-0-2-23-8786511366-7040186245-077487176-4444/WqCATbkC.exe: Win.Trojan.Ramnit-1847 FOUND
./RECYCLER/S-0-2-23-8786511366-7040186245-077487176-4444/lpk.dll: Win.Trojan.Generic-6297788-0 FOUND
Hablé con el proveedor de memoria flash y ellos no saben qué sucedió, y dicen que no podría pasar de su lado.
Creé imágenes de disco con dd
y busqué con photorec
y foremost
para encontrar los archivos eliminados que podrían convertirse en una evidencia en el caso.
En general, solo encontré un archivo EXE y un archivo DLL que son los binarios de virus, pero una unidad también proporcionó muchos archivos MP3 dañados (2-3 kB cada uno), PCX (hasta 30 MB) y TTF (< 1kB). Supongo que estos son todos falsos positivos, porque ninguno de los archivos se abre en los programas que deberían leerlos. Foremost también encontró un archivo BMP de 49 kB (que está roto y no se abre). Así que hay algunos datos aleatorios en las unidades que posiblemente podrían decirme algo.
Estoy familiarizado con GNU / Linux y algo de recuperación de archivos básicos (con testdisk
/ photorec
y dd
) pero no con los análisis forenses de TI adecuados.
¿Hay algo que pueda hacer para comprender de dónde se originaron los archivos maliciosos y qué sucedió?
Supongo que podría intentar investigar las tablas FAT, pero ni siquiera sé qué buscar.