Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 1 Telfono: +54 11 43 70 60 00 Fax: +54 11

43 73 89 50 www.trendargentina.com.ar

Departamento de Soporte Tcnico

Procedimiento

Trend Micro Anti-Threat Toolkit

(ATTK)

Departamento de Soporte Tcnico

Equipo AntiMalware

EDSI Trend Argentina

A TTK

ATTK

Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 2 Telfono: +54 11 43 70 60 00 Fax: +54 11

43 73 89 50 www.trendargentina.com.ar

Departamento de Soporte Tcnico

Descripcin:

Este documento tiene el propsito de auxiliar en el proceso de investigacin de puestos de

trabajo que presentan comportamiento sospechoso.

El procedimiento mencionado, deber ser realizado por personas de conocimiento tcnico

medio, y un nivel de especializacin en productos antivirus bajo.

El mtodo de investigacin, est basado en la recopilacin de informacin de sistema, logs

de antivirus, cliente antivirus y registro de sistema operativo.

Las herramienta que se mencionara es provista por Trend Micro Inc.

Herramienta:

Anti-Threat Toolkit (ATTK) Quick Collector

Download: https://spnsupport.trendmicro.com/

Resumen: ATTK nos permitir recolectar informacin sobre el sistema, especficamente

relacionado a la visualizacin de registros malintencionados (versin en 32 y 64 bits que

deben utilizarse segn el procesador que disponga el sistema).

Procedimiento:

Una vez realizada la descarga de dicha herramienta, ejecutar los siguientes puntos:

1. Proceder a la ejecucin del archivo attk_collector_cli_x64.exe o

attk_collector_cli_x32.exe sobre el usuario afectado del equipo y que presente sntomas

de infeccin. Tener en cuenta que el mismo deber ser ejecutado desde un disco que

disponga de un mnimo de 50 MB.

ATTK

Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 3 Telfono: +54 11 43 70 60 00 Fax: +54 11

43 73 89 50 www.trendargentina.com.ar

Departamento de Soporte Tcnico

2. Esperar la finalizacin del anlisis de la herramienta:

3. Luego, observar que desde el directorio del cual se ejecut el ATTK, se han generado

nuevos archivos y directorios:

ATTK

Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 4 Telfono: +54 11 43 70 60 00 Fax: +54 11

43 73 89 50 www.trendargentina.com.ar

Departamento de Soporte Tcnico

Estos nuevos archivos y directorios, debern ser enviados a Trend Argentina

comprimidos y con password, a travs de nuestro sitio FTP o bien va email.

ATTK

Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 5 Telfono: +54 11 43 70 60 00 Fax: +54 11

43 73 89 50 www.trendargentina.com.ar

Departamento de Soporte Tcnico

Envo de muestras

Las muestras obtenidas, luego de la ejecucin debida de cada una de las herramientas, se

explicaran en este mdulo.

Es importante, entonces, tener en cuenta el resumen de informacin que se detalla a

continuacin, sobre que archivos/directorios son necesitados:

ATTK:

TrendMicro AntiThreat Toolkit\Output

Los mismos debern ser comprimidos en formato RAR o ZIP y con password, donde la

misma deber ser novirus. El nombre del archivo comprimido deber ser equivalente al nombre de la empresa que lo gener.

Dependiendo del tamao del archivo comprimido, se explica entonces la metodologa de

envo del mismo:

Si el archivo es Menor a 5 MB:

El envo se realizara va email, a la direccin de soporte:

AntiMalware@trendargentina.com.ar

O bien, al tcnico asociado al incidente.

Si el archivo es Mayor a 5 MB:

El envo se realizar a travs de nuestro sitio FTP.

Site: ftp://ftp.trendargentina.com.ar/ATTK

User: customer

Password: ftp-customer

(nota: Por favor comunicarnos que las muestras fueron elevadas por este medio)