Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Malware Removal Starter Kit

Planejando a sua resposta

Publicado em: 10 de julho de 2007


O planejamento não pode ser considerado concluído até que você tenha se planejado para a pior situação. Se todas as suas defesas estiverem comprometidas devido a um ataque, será necessário garantir que a equipe com a qual você trabalha saiba o que fazer. A sua capacidade de definir uma resposta rápida pode fazer uma grande diferença quando um ataque for grave.

À medida que você planejar a resposta, é importante compreender que reagir exageradamente a um problema de malware pode causar muito mais interrupção do que lidar com uma verdadeira invasão! Planeje a sua resposta para que seja rápida, mas também calculada para minimizar os efeitos para os funcionários.

Nesta página

Crie um plano de resposta a incidentes
Prepare um Kit para Verificação Offline

Crie um plano de resposta a incidentes

Criar um plano de resposta a incidentes que descreva o que deverá ocorrer na hipótese de uma invasão com suspeita de malware é uma importante etapa de preparação para a sua empresa. O plano deve ajudá-lo a instruir todos os membros da equipe afetada em relação à melhor ação a ser realizada quando ocorrer uma invasão de malware. Ele deve ter como objetivo minimizar o impacto do ataque e comunicar um processo documentado de resposta a incidentes que a equipe possa seguir. Por exemplo, um plano bem desenvolvido deve ser capaz de gerenciar a seqüência de eventos de um incidente característico, como o seguinte:

  1. Um membro da equipe liga para um recurso do suporte interno depois de observar que algo estranho apareceu na tela do computador.

  2. O recurso do suporte verifica o computador e liga para um número de suporte técnico.

  3. O suporte técnico solicita que seja realizado um teste breve de diagnóstico e, em seguida, limpa ou recompila o sistema, dependendo da gravidade do problema.

O processo de resposta completo poderia demorar horas para ser concluído. Portanto, é importante ter um plano definido que ajude a minimizar o risco de disseminação ainda maior do malware. Por exemplo, se o recurso do suporte tiver sido treinado para executar um software de antivírus no computador e, em seguida, remover o cabo da rede do computador suspeito até que o técnico de suporte chegue, essa resposta inicial elimina a possibilidade de o computador infectar outros computadores.

Ao planejar o seu plano de resposta a incidentes, há geralmente dois cenários que você deve considerar:

  • Infecção individual. Este cenário, que é certamente o mais comum, ocorre quando o malware infecta um único computador.

  • Invasão em massa. Este cenário, felizmente, é o menos comum. Uma invasão em massa tem o potencial de causar grave interrupção na empresa. Geralmente, esse cenário somente se tornará aparente depois que a equipe relatar várias infecções individuais com sintomas semelhantes.

O seu plano de resposta a incidentes pode cobrir ambos os cenários, já que o processo de resposta de uma invasão é uma extensão da resposta a uma infecção individual. Normalmente, a resposta à invasão exigirá que você isole temporariamente a rede da empresa, a fim de interromper o ataque de se disseminar ainda mais, bem como proporcionará à equipe do suporte o tempo necessário para limpar os sistemas infectados. Em alguns casos, poderá ser necessário notificar o administrador da rede ou a pessoa executando essa função, a fim de alterar as configurações de firewall ou do roteador antes que os computadores na empresa possam ser reconectados à rede. Por exemplo, se o malware utilizar uma porta específica da rede para infectar os computadores, bloquear essa porta no firewall poderá impedir a reinfecção e, ao mesmo tempo, permitir a continuidade de outras comunicações na rede.

Cc162851.important(pt-br,TechNet.10).gif Importante:

Se você ainda detectar a presença de malware depois de usar o kit para limpar o seu computador, recomendamos que desative o computador e não o use por 10 dias úteis, ou até que o seu provedor de antivírus emita uma atualização da assinatura de vírus. Então, você poderá usar o kit para baixar os mais recentes arquivos de assinatura e verificar novamente o computador, a fim de solucionar de forma mais eficiente o problema.

Para obter mais informações sobre como organizar e desenvolver um plano de resposta a incidentes, consulte os seguintes recursos:

Prepare um Kit para Verificação Offline

Esta seção fornece recomendações, especificações de suporte e um pequeno conjunto de tarefas e instruções que podem ser utilizadas para preparar um kit Windows Preinstallation Environment (Windows PE). Então, você poderá combinar o kit com um conjunto de ferramentas para conduzir verificações offline quanto a malware em computadores na sua empresa.

O Windows PE fornece ferramentas avançadas de preparo e instalação para os sistemas operacionais Windows. Com o Windows PE, você pode iniciar o Windows a partir de um disco removível, que fornece recursos para solução de problemas do Windows no computador cliente. Para obter mais informações sobre o Windows PE, baixe a Visão geral técnica do Windows Preinstallation Environment.

Ferramentas e tecnologias incompatíveis

O Windows PE não é compatível com as seguintes ferramentas e tecnologias:

  • Internet Explorer® 7.

  • Aplicativos que usem o Microsoft Windows Installer (arquivos .msi).

Pré-requisitos

Veja a seguir os requisitos de sistema operacional e recursos para a preparação de um kit Windows PE:

  • Windows Vista® ou Windows XP® com Service Pack 2 (SP2).

  • Software e gravador de DVD para gravar um CD-ROM.

  • 992 MB de espaço livre no disco rígido do computador para baixar o arquivo .img do Windows PE.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    Espaço adicional de 800 MB necessário para a imagem de inicialização da unidade C do computador ao usar o script padrão do kit.

  • Versão 2.0 do Microsoft .NET Framework e MSXML para execução do Windows Installer.

Você pode usar os seguintes recursos para atender a esses requisitos:

Para obter mais informações sobre os requisitos do sistema de 32 e 64 bits, consulte:

Visão geral da tarefa

Conclua as seguintes tarefas para preparar o seu Malware Removal Starter Kit, a fim de conduzir as verificações offline:

  • Tarefa 1: instale o Kit de Instalação Automatizada (AIK) do Windows

  • Tarefa 2: baixe as ferramentas e utilitários de verificação de malware

  • Tarefa 3: crie o CD-ROM do Malware Removal Starter Kit.

  • Tarefa 4: use o Malware Removal Starter Kit para verificar o seu computador

Tarefa 1: instale o Kit de Instalação Automatizada (AIK) do Windows

A primeira tarefa neste processo é obter o Kit de Instalação Automatizada (AIK) do Windows. Esse kit inclui o Windows PE e outros arquivos para instalação no seu computador. Por padrão, o kit é instalado como um arquivo de imagem (*.img) em qualquer unidade do sistema que você escolher.

Cc162851.note(pt-br,TechNet.10).gif Observação:

O AIK é compatível com o Windows Vista e o Windows XP SP2.

Para instalar o AIK no seu computador:

  1. baixe o AIK a partir da página Kit de Instalação Automatizada (AIK) do Windows no Centro de Download da Microsoft.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    O tamanho do arquivo .img do AIK é de 992 megabytes (MB). Por esse motivo, talvez seja necessário mais tempo para baixar o arquivo do Centro de Download da Microsoft, dependendo da velocidade da sua conexão.

  2. Grave o arquivo .img do AIK em um DVD.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    Se o seu software de gravação de DVD não reconhecer arquivos ".img", na caixa de diálogo Salvar como do download, expanda a lista suspensa Salvar como tipo, altere o tipo de arquivo para Todos os arquivos e a extensão de nome de arquivo de .img para .iso e, em seguida, tente gravar novamente as informações em um DVD.

  3. No DVD do AIK que você criou, clique duas vezes em StartCD.exe para instalar o AIK no seu computador.

Tarefa 2: baixe as ferramentas e utilitários de verificação de malware

Você precisará identificar as ferramentas que deseja usar com o Windows PE para executar verificações de malware no seu computador. O Windows PE não é compatível com ferramentas que usam pacotes .msi para instalação no seu computador. Além disso, a quantidade de memória RAM no seu computador pode restringir quais ferramentas você pode usar.

Há várias ferramentas de antimalware disponíveis gratuitamente que não requerem instalação, de forma que você pode executá-las como arquivos de programas no ambiente do Windows PE. Você também pode executar essas ferramentas a partir de um dispositivo USB.

Baixe as ferramentas de verificação de malware que podem ser usadas para uma localização temporária no seu computador.

Cc162851.important(pt-br,TechNet.10).gif Importante:

Algumas ferramentas antimalware requerem acesso à rede para execução. Por esse motivo, quando usar essa orientação para criar seu CD-ROM de Malware Removal Starter Kit, use somente ferramentas antimalware que estejam disponíveis para uso offline. Recomendamos que você leia as instruções de instalação de todas as ferramentas offline que decidir usar. Algumas ferramentas podem não ser compatíveis com todos os sistemas operacionais do Windows.

Quando essa orientação foi preparada, as seguintes ferramentas eram executadas com o Windows PE em um computador executando Windows XP SP2 ou Windows Vista com pelo menos 512 MB de RAM:

  • avast! Virus Cleaner da Alwil Software. Essa ferramenta está disponível para uso offline. Os arquivos de assinatura da ferramenta serão atuais de acordo com a data de download relacionada.

  • McAfee AVERT Stinger, um scanner de vírus autônomo da McAfee. Essa ferramenta está disponível para uso offline. Os arquivos de assinatura da ferramenta serão atuais de acordo com a data de download relacionada.

  • Ferramenta de Remoção de Software Mal-Intencionado da Microsoft. Essa ferramenta está disponível para uso offline. Os arquivos de assinatura da ferramenta serão atuais de acordo com a data de download relacionada.

  • Spybot - Search & Destroy da Spybot Search and Destroy.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    Antes de usar essa ferramenta, é necessário primeiro instalá-la no computador que deseja verificar e, em seguida, baixar as mais recentes atualizações de detecção do arquivo de assinatura do Spybot. Depois que a ferramenta for instalada, ela será iniciada, por padrão, a partir de X:\Program Files\Spybot – Search & Destroy\spybotsd, a menos que você tenha especificado outro caminho durante a instalação. Os arquivos de assinatura da ferramenta serão atuais de acordo com a data de download relacionada. Para obter mais informações sobre como usar essa ferramenta, consulte a página Tutorial do site do Spybot.

Os utilitários a seguir foram desenvolvidos para ajudá-lo a gerenciar o computador enquanto você estiver realizando o processo de remoção do malware:

  • Drive Manager do site Freeware Utilities by Alex Nolan. Essa ferramenta identifica diferentes tipos de unidade, como discos rígidos, unidades de CD/DVD, unidades de USB, unidades de rede e relaciona suas propriedades para análise. Essa ferramenta está disponível para uso offline.

  • System Spec do site Freeware Utilities by Alex Nolan: fornece informações sobre o hardware atual no computador. Essa ferramenta pode ser útil se você precisar fornecer informações detalhadas sobre o hardware do computador para o suporte técnico. Essa ferramenta está disponível para uso offline.

Tarefa 3: crie o CD-ROM do Malware Removal Starter Kit.

A criação do CD-ROM do Malware Removal Starter Kit requer que você produza uma imagem do Windows PE para o kit, modifique a imagem base do Windows PE acrescentando imagens a ela, altere o tamanho do cache em disco para fornecer espaço adicional de RAM e, em seguida, crie um arquivo de imagem .iso para gravar a imagem alterada em um CD-ROM. Periodicamente, você precisará baixar as mais recentes atualizações da assinatura de vírus para as ferramentas de verificação offline no CD-ROM, a fim de mantê-las o mais eficientes possível para detectar malware.

Cc162851.important(pt-br,TechNet.10).gif Importante:

Depois de começar a criação da imagem do Windows PE, é importante concluir todas as etapas nessa tarefa sem interrupção. Se você já tiver baixado as ferramentas que pretende usar, esse processo deve levar em torno de 30 minutos para ser concluído, dependendo do desempenho do seu sistema e se você seguir as etapas nessa tarefa exatamente como instruído. Você precisará de aproximadamente 800 MB de espaço livro na unidade C para concluir esse procedimento. Certifique-se de ter atualizado todas as referências de letra das unidades, conforme necessário.

Para criar o CD-ROM do Malware Removal Starter Kit:

  1. Faça logon no computador como administrador, clique em Iniciar, clique em Todos os Programas, clique em Microsoft Windows AIK e, em seguida, em Prompt de Comando das Ferramentas do Windows PE.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    Essa etapa se aplica ao Windows XP. Se você estiver executando o Windows Vista no seu computador, clique com o botão direito do mouse em Prompt de Comando das Ferramentas do Windows PE, clique em Executar como administrador e, em seguida, em Continuar.

  2. No prompt de comando, digite o seguinte e, em seguida, pressione ENTER para criar uma cópia da imagem x86 do Windows PE e configurar um diretório da pasta de trabalho no seu computador:

    copype x86 c:\WinPE

  3. No prompt de comando no novo diretório c:\WinPE, digite o seguinte e, em seguida, pressione ENTER para montar a imagem WinPE.wim, de forma que possa alterá-la:

    imagex /mountrw winpe.wim 1 c:\WinPE\Mount

  4. No prompt de comando, digite o seguinte e, em seguida, pressione ENTER para acessar a seguinte subchave do Registro:

    reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

  5. No prompt de comando, digite o seguinte e, em seguida, pressione ENTER para criar um cache em disco de 96 MB de RAM:

    reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

  6. No prompt de comando, digite o seguinte e, em seguida, pressione ENTER para sair dessa chave do Registro:

    reg unload HKLM\_WinPE_SYSTEM

  7. Crie um diretório para as ferramentas de verificação de malware na pasta Mount (por exemplo, você poderia usar o nome “Ferramentas” para essa pasta).

    mkdir c:\WinPE\mount\Tools

  8. Copie os arquivos da ferramenta obtidos por download na Tarefa 2 para o diretório de ferramentas que acabou de criar. Exemplo:

    copie <as ferramentas do diretório da Tarefa 2> c:\WinPE\mount\Ferramentas.

  9. No prompt de comando, digite o seguinte e, em seguida, pressione ENTER. Digite Sim e pressione ENTER novamente para continuar o processo:

    peimg /prep c:\WinPE\Mount

  10. No prompt de comando, digite o seguinte e, em seguida, pressione ENTER para salvar as alterações:

    imagex /unmount c:\WinPE\Mount /commit

  11. No prompt de comando, copie o seguinte e, em seguida, pressione ENTER. Digite Sim para substituir o arquivo existente:

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

  12. No prompt de comando, digite o seguinte e, em seguida, pressione ENTER para criar um arquivo .iso da imagem do Windows PE:

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

  13. Grave o arquivo .iso, localizado em c:\WinPE\WinPE_Tools.iso, para um CD-ROM e teste a imagem do Windows PE, a fim de verificar se ela executa todas as ferramentas de verificação de malware corretamente.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    Você também pode usar o Microsoft Virtual PC 2007 para testar a imagem.

Agora, o CD-ROM do seu Malware Removal Starter Kit está pronto. Se você precisar de atualizações mais freqüentes da assinatura de vírus para o seu ambiente, recomendamos a manutenção das ferramentas de verificação escolhidas para uso em um dispositivo USB, a fim de obter as mais recentes atualizações.

Tarefa 4: use o Malware Removal Starter Kit para verificar o seu computador

Agora, você está pronto para usar a imagem do Windows PE e as ferramentas selecionadas para verificar o computador quanto a malware.

Para usar o CD-ROM do Windows PE e as ferramentas para verificar o computador:

  1. Insira o novo CD-ROM na unidade de CD ou DVD do computador. Certifique-se de iniciar o computador a partir dessa unidade de acordo com a ordem de inicialização do seu computador.

    Opção: insira o dispositivo USB em um slot no computador, a fim de garantir que o dispositivo será carregado quando você iniciar o sistema operacional.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    Para obter mais informações sobre como iniciar o computador a partir de um disco de inicialização de CD-ROM do Windows PE, consulte Visão geral do ambiente de pré-instalação do Windows no site Microsoft.com. Esse recurso fornece informações sobre como definir as configurações do BIOS (sistema básico de entrada/saída) para a ordem de inicialização do computador, bem como outras configurações do BIOS que podem impedi-lo de iniciar o computador a partir da unidade de CD.

  2. Execute as ferramentas de verificação de malware que tiver selecionado. Se tiver usado as informações de configuração padrão na Tarefa 3 para criar a imagem do Windows PE, as ferramentas estarão localizadas em X:\Tools. Você pode executar as ferramentas relacionadas digitando o nome do arquivo do programa de cada uma no prompt de comando.

    Opção: se você tiver inserido um dispositivo USB para fornecer ferramentas ou assinaturas atualizadas e não estiver certo de que letra de unidade o dispositivo USB está usando, poderá definir a letra da unidade usando o Drive Manager, que está em X:\Tools.

    Cc162851.note(pt-br,TechNet.10).gif Observação:

    Para executar o Spybot, consulte as instruções de instalação do Spybot e certifique-se de que o arquivo do programa de definição seja executado depois da instalação dessa ferramenta no computador.

Cc162851.caution(pt-br,TechNet.10).gif Cuidado:

A execução de ferramentas de verificação de malware em um computador infectado pode danificar a capacidade do computador de ser iniciado corretamente. Se os principais arquivos de inicialização forem infectados por malware, o processo de limpeza pode impedir o funcionamento do sistema operacional. Por esse motivo, é importante que você faça regularmente backup de todos os arquivos com informações importantes no computador. Além disso, depois de restaurar esses arquivos no computador a partir do seu recurso de backup, recomendamos que o computador seja novamente verificado, a fim de detectar qualquer malware que possa estar presente nos arquivos de backup.


Neste artigo

Download

Obtenha o Malware Removal Starter Kit:

Notificações de atualização

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou suas sugestões


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft