Ao longo do mês passado (possivelmente mais), notei que meu laptop (executando o Windows 10) frequentemente fica quase inutilmente lento, especialmente depois de muitos dias sem tê-lo ativado.
Percebo que o uso do disco no gerenciador de tarefas está em 100% por longos períodos de tempo, no entanto, isso é ridículo, porque mesmo a soma de todos os processos [que eu posso ver ...] só poderia se aproximar de 5 a 5 10% no caso generoso.
Esta é uma máquina de desenvolvimento com 8 GB de RAM, processador i7, muito espaço. Quase não há programas de inicialização além dos programas padrão da MS (e até lá eu abandonei a maioria dos não-essenciais da lista de inicialização). Eu também passei e progressivamente desativado serviços como BITS, Superfetch etc. para nenhum efeito observável.
O que torna isso mais suspeito é o padrão em que ocorre - o problema é pior na inicialização depois de muitos dias do computador estar fisicamente desconectado e desligado. O tempo de inicialização é de cerca de 3-5 minutos (!) Após o qual o disco é executado a 100% de uso por alguns minutos e, em seguida, por nenhuma razão explicável, cai para cerca de 1-5%. Tudo isso sem mostrar nenhum processo próximo ao uso total do disco.
Após cerca de um mês investigando isso, estou começando a suspeitar do envolvimento de malware, principalmente por causa da discrepância no gerenciador de tarefas, mas também por causa de como o problema se corrige de repente. Também devo observar que o computador executa a edição do AVG Free e as verificações do computador e do anti-rootkit estão limpas. Dito isso, quero buscar a possibilidade de que isso possa ser um malware se conectando e se atualizando, ou, pior ainda, exfiltrando dados [ou, pior ainda, mastigando meu disco para criptografar meus arquivos e dizendo que tudo está OK]?
Atualmente não observo uma quantidade irregular de tráfego de rede que suporte a teoria de exfiltração, no entanto, também é possível ocultar isso do gerenciador de tarefas / wireshark usando um driver não autorizado.
Eu tenho várias perguntas:
- Esse padrão de comportamento se ajusta a qualquer ameaça de malware / APT conhecida?
- Supondo que eu continuei na direção forense, que outras medidas poderiam ser tomadas para investigar e validar os drivers na máquina?
- Quais etapas além do gerenciador de tarefas eu posso executar para monitorar e identificar o processo que é realmente responsável pelo uso de disco de 100%?
- Há algum motivo legítimo / do Windows para que isso possa estar ocorrendo e, em caso afirmativo, como posso restringir e isolar os componentes problemáticos?