Mi è stato fornito un campione di supporto USB infetto da virus, che è stato venduto a un client e si supponeva che fosse vuoto.
C'è un file EXE da 364 kB compresso con UPX - da hexdumping del programma eseguibile ho trovato un nome nedwp.exe
. L'audit principale mi ha dato un timestamp 23/09/1984 19:12:23 per quel file. Piuttosto improbabile, perché il file contiene anche una stringa "BitDefender" e immagino che non esistesse negli anni '80, quindi il timestamp è sicuramente falso.
C'è anche un file DLL da 73 kB timestamped del 06/08/2010 alle 09:59:36, che è più probabile.
C'è anche un file autorun.conf dall'aspetto molto ombreggiato con un testo casuale simile a Base64, un normale testo di autorun script che fa riferimento al suddetto file EXE e altro a Base64-esque garbage.
Clam-AV ha detto questo:
$ clamscan -r .
./RECYCLER/S-0-2-23-8786511366-7040186245-077487176-4444/WqCATbkC.exe: Win.Trojan.Ramnit-1847 FOUND
./RECYCLER/S-0-2-23-8786511366-7040186245-077487176-4444/lpk.dll: Win.Trojan.Generic-6297788-0 FOUND
Ho parlato con il fornitore di memorie flash e loro non sanno cosa sia successo, e dicono che non potrebbe accadere dalla loro parte.
Ho creato immagini disco con dd
e cercato con photorec
e foremost
per trovare eventuali file eliminati che potrebbero diventare una prova nel caso.
Per lo più ho trovato solo un file EXE e un file DLL che sono i binari del virus, ma un disco ha anche fornito un sacco di file MP3 rotti (2-3 kB ciascuno), PCX (fino a 30 MB) e TTF (< 1kB). Immagino che questi siano tutti falsi positivi, perché nessuno dei file si apre nei programmi che dovrebbero leggerli. In primo luogo ha anche trovato un file BMP di 49 kB (che è rotto e non si apre). Quindi ci sono alcuni dati casuali sulle unità che potrebbero eventualmente dirmi qualcosa.
Ho familiarità con GNU / Linux e alcuni file di base recorvery (con testdisk
/ photorec
e dd
) ma non con la corretta analisi forense IT.
C'è qualcosa che posso fare per capire da dove sono originati i file dannosi e cosa è successo?
Credo che potrei provare a indagare sulle tabelle FAT, ma non so nemmeno cosa cercare.