# AN0940 — Analytic 0940 ## Descrição Este analytic detecta `msiexec.exe` executando pacotes de instalação que resultam em criação anômala de processos, monitorando binários inesperados executados por msiexec ou DLLs de ação customizada em diretório temporário. A telemetria inclui eventos de criação de processo (Sysmon Event ID 1) com foco em processos filhos de `msiexec.exe`, criação de arquivos em `%TEMP%` e carregamentos de DLL via ação customizada de MSI. O abuso do Windows Installer é uma técnica de execução de payload que aproveita a confiança do sistema em `msiexec.exe` para executar código arbitrário contornando controles de aplicação, sendo explorado em ataques de spear-phishing com arquivos MSI maliciosos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1218-007-msiexec|T1218.007 — Msiexec]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0940](https://attack.mitre.org/detectionstrategies/DET0330#AN0940)*