ATTK

Procedimiento

Trend Micro Anti-Threat Toolkit

(ATTK)
Departamento de Soporte Tcnico
Equipo AntiMalware

EDSI Trend Argentina

Departamento de Soporte Tcnico

Avda. Corrientes 1386 Piso 8

CP- 1043ABN - Capital Federal Repblica Argentina Pgina 1
Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar

ATTK

Descripcin:
Este documento tiene el propsito de auxiliar en el proceso de investigacin de puestos de
trabajo que presentan comportamiento sospechoso.
El procedimiento mencionado, deber ser realizado por personas de conocimiento tcnico
medio, y un nivel de especializacin en productos antivirus bajo.
El mtodo de investigacin, est basado en la recopilacin de informacin de sistema, logs
de antivirus, cliente antivirus y registro de sistema operativo.
Las herramienta que se mencionara es provista por Trend Micro Inc.

Herramienta:

Anti-Threat Toolkit (ATTK) Quick Collector

Download: https://spnsupport.trendmicro.com/

Resumen: ATTK nos permitir recolectar informacin sobre el sistema, especficamente

relacionado a la visualizacin de registros malintencionados (versin en 32 y 64 bits que
deben utilizarse segn el procesador que disponga el sistema).

Procedimiento:
Una vez realizada la descarga de dicha herramienta, ejecutar los siguientes puntos:
1. Proceder a la ejecucin del archivo attk_collector_cli_x64.exe o
attk_collector_cli_x32.exe sobre el usuario afectado del equipo y que presente sntomas
de infeccin. Tener en cuenta que el mismo deber ser ejecutado desde un disco que
disponga de un mnimo de 50 MB.

Departamento de Soporte Tcnico

Avda. Corrientes 1386 Piso 8

CP- 1043ABN - Capital Federal Repblica Argentina Pgina 2
Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar

ATTK

2. Esperar la finalizacin del anlisis de la herramienta:

3. Luego, observar que desde el directorio del cual se ejecut el ATTK, se han generado
nuevos archivos y directorios:

Departamento de Soporte Tcnico

Avda. Corrientes 1386 Piso 8

CP- 1043ABN - Capital Federal Repblica Argentina Pgina 3
Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar

ATTK

Estos nuevos archivos y directorios, debern ser enviados a Trend Argentina

comprimidos y con password, a travs de nuestro sitio FTP o bien va email.

Departamento de Soporte Tcnico

Avda. Corrientes 1386 Piso 8

CP- 1043ABN - Capital Federal Repblica Argentina Pgina 4
Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar

ATTK

Envo de muestras
Las muestras obtenidas, luego de la ejecucin debida de cada una de las herramientas, se
explicaran en este mdulo.
Es importante, entonces, tener en cuenta el resumen de informacin que se detalla a
continuacin, sobre que archivos/directorios son necesitados:

ATTK:

TrendMicro AntiThreat Toolkit\Output

Los mismos debern ser comprimidos en formato RAR o ZIP y con password, donde la
misma deber ser novirus. El nombre del archivo comprimido deber ser equivalente al nombre
de la empresa que lo gener.
Dependiendo del tamao del archivo comprimido, se explica entonces la metodologa de
envo del mismo:

Si el archivo es Menor a 5 MB:

El envo se realizara va email, a la direccin de soporte:
AntiMalware@trendargentina.com.ar
O bien, al tcnico asociado al incidente.

Si el archivo es Mayor a 5 MB:

El envo se realizar a travs de nuestro sitio FTP.
Site: ftp://ftp.trendargentina.com.ar/ATTK
User: customer
Password: ftp-customer
(nota: Por favor comunicarnos que las muestras fueron elevadas por este medio)

Departamento de Soporte Tcnico

Avda. Corrientes 1386 Piso 8

CP- 1043ABN - Capital Federal Repblica Argentina Pgina 5
Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar