Znaleziono nowe złośliwe oprogramowanie nie wykryte przez program antywirusowy. Jak ocenić zagrożenie?

26

Na stacji roboczej Windows 7 z aktualnym pakietem antywirusowym (Kaspersky) znalazłem kilka podejrzanych procesów. Aby zobaczyć aktywność procesu, użyłem doskonałego ProcessMonitor z SysInternals.

Jeden z nich miał nazwę pliku wykonywalnego wauctla.exeznajdującą się w C:\Windows. Aktualizacja: nazwa jest prawdopodobnie wybierana celowo, aby ją pomylić wuauclt.exe- narzędzie Windows Update Agent Control.

Ten proces działa jako usługa systemowa. Za pomocą przystawki Usługi konsoli zarządzania mogłem zmienić ustawienia uruchamiania tego procesu z „Automatyczny” na „Wyłączony”. Jednak nie było sposobu, żebym mógł zatrzymać uruchomiony proces za pomocą przystawki MMC.

Nadal udało mi się zatrzymać proces za pomocą taskkill /f /PIDpolecenia. Zrestartowałem system operacyjny i proces nie jest już widoczny na liście procesów.

Jest doskonały gwint na administratora o procedurach niezbędnych do usuwania złośliwego oprogramowania z rodzajowe komputerach z systemem Windows. Kiedy podejrzane procesy zostaną zatrzymane, a ich pliki wykonywalne przeniesione w bezpieczne miejsce z dala od ścieżki wyszukiwania plików wykonywalnych, chcę dowiedzieć się więcej o nowym złośliwym oprogramowaniu.

Jakie zagrożenie pochodzi z tego pliku? Czy istnieje jakieś oprogramowanie antywirusowe, które może wykryć tego wirusa? Jak się rozprzestrzenia, czy powinienem sprawdzić inne komputery, do których dostęp miał ten sam użytkownik po zainfekowaniu tej stacji roboczej?

Aktualizacja 2: Po odpowiedziach dotyczących virustotal tutaj znajduje się link do podsumowania virustotal tego elementu złośliwego oprogramowania.

Dmitrij Chubarow
źródło
2
wauctla.exenie jest złośliwy. wauctla.exejest używany przez Windows Update .
Ramhound
8
Tak wuauclt.exewierzę.
Lieven Keersmaekers,
14
wauctla.exe to złośliwe oprogramowanie wykrywane przez Avast.
Adi
1
Pytasz nas, co robi to zagrożenie, nawet jeśli go nie zidentyfikowałeś? Czy to oznacza, że ​​nie wiesz, jak to zidentyfikować, czy nie jest to znane zagrożenie?
Jason
4
@ AndréDaniel Różnica polega na odcieniach szarości - świat nie jest czarno-biały. Wirus nie jest wirusem. Jeśli dostaniesz coś z witryny Downloads.com, kliknij opcję zaakceptuj i pobierz narzędzie Vosteran Toolbar Awesomifier !!! ... masz problem z mal / ad / spy-ware - nie wirusem / trojanem. Jest to „oprogramowanie premiowe” i kliknąłeś opcję Akceptuj, dzięki czemu nie jest już „nieautoryzowany”. Czy AV powinien to odinstalować / usunąć? Może, może nie. en.wikipedia.org/wiki/Malware#Grayware - dlatego MB / SpyBot / etc są tak rozpowszechnione jak one.
WernerCD,

Odpowiedzi:

38

Nie używaj do tego Monitora procesów. Użyj jak @DavidPostill sugerowany VirusTotal, ale bez ręcznego wysyłania plików. Process Explorer z SysInternals ma wbudowaną funkcjonalność VirusTotal. Wystarczy przejść do Opcje -> VirusTotal.com -> Sprawdź VirusTotal.com, a pojawi się kolumna z nagłówkiem VirusTotal.com. Po kilku sekundach otrzymasz ocenę VirusTotal dla każdego pliku wykonywalnego.

wprowadź opis zdjęcia tutaj

W Eksploratorze procesów możesz bezpośrednio zabić złośliwy proces lub dowiedzieć się, do której usługi Windows rozpoczął ten proces oraz zatrzymać i wyłączyć tę usługę. Jest to dobry sposób, ponieważ zabicie procesu, w którym usługa bazowa może natychmiast odtworzyć złośliwy proces. Aby znaleźć usługę dla procesu, kliknij dwukrotnie proces i przejdź do karty Usługi.

Robert Niestroj
źródło
3
@ AndréDaniel Process Explorer wysyła tylko skróty procesów, które skanuje automatycznie. Aby wysłać cały plik do analizy, musisz to zrobić ręcznie inicjując skanowanie za pomocą okna Szczegóły procesu lub biblioteki DLL (zobacz okno dialogowe Warunki świadczenia usług, jak pokazano tutaj ).
Mówię: Przywróć Monikę
@Twisty w porządku, nieważne, nie wiedziałem o tym.
1
Cóż, twój punkt w aspektach, w których jest poprawny, pozostaje ważny, ponieważ możliwe jest przesłanie całego pliku, ale nie automatycznie.
Mówię: Przywróć Monikę
31

Jak ocenić zagrożenie spowodowane przez złośliwe oprogramowanie?

Możesz przesłać plik do VirusTotal do analizy online.

  • VirusTotal sprawdza plik przy użyciu ponad 40 rozwiązań antywirusowych.
  • To przynajmniej powie ci, czy jakieś oprogramowanie antywirusowe jest w stanie je wykryć.
  • Jeśli uzyskasz pozytywną identyfikację, możesz wyszukać nazwę wirusa, aby dowiedzieć się więcej o tym, jak działa i jakie stanowi zagrożenie.

Co to jest VirusTotal

VirusTotal, spółka zależna od Google, to bezpłatna usługa online, która analizuje pliki i adresy URL, umożliwiając identyfikację wirusów, robaków, trojanów i innych rodzajów złośliwych treści wykrywanych przez silniki antywirusowe i skanery stron internetowych. Jednocześnie może być wykorzystywany jako środek do wykrywania fałszywych alarmów, tj. Nieszkodliwych zasobów wykrytych jako szkodliwe przez jeden lub więcej skanerów.

Źródło VirusTotal

DavidPostill
źródło