Найдены новые вредоносные программы, не обнаруженные антивирусом. Как оценить угрозу?

26

На рабочей станции Windows 7, на которой установлен современный антивирус (Kaspersky), я обнаружил несколько подозрительных процессов. Чтобы посмотреть на активность процесса, я использовал отличный ProcessMonitor от SysInternals.

У одного из них было имя исполняемого файла, wauctla.exeрасположенного в C:\Windows. Обновление: имя, вероятно, выбрано намеренно, чтобы его можно было перепутать с wuauclt.exeутилитой управления агентом обновления Windows.

Этот процесс выполняется как системная служба. С помощью оснастки «Консоль управления» мне удалось изменить параметры запуска этого процесса с «Автоматически» на «Отключено». Однако я никак не мог остановить запущенный процесс через оснастку MMC.

Мне все же удалось остановить процесс с помощью taskkill /f /PIDкоманды. Я перезапустил ОС, и процесс больше не отображается в списке процессов.

В superuser есть отличная ветка о процедурах, необходимых для удаления вредоносных программ с компьютеров под управлением Windows. Когда подозрительные процессы были остановлены и их исполняемые файлы перемещены в безопасное место вдали от пути поиска исполняемых файлов, я хочу узнать больше о новом вредоносном ПО.

Какая угроза исходит из этого файла? Существует ли какое-либо антивирусное программное обеспечение, способное обнаружить этот вирус? Как это распространяется, должен ли я проверять другие компьютеры, к которым обращался тот же пользователь после заражения этой рабочей станции?

Обновление 2: Следуя ответам, относящимся к virustotal, приведена ссылка на сводку virustotal об этой части вредоносного ПО.

windows-7 windows anti-virus malware process-explorer Дмитрий Чубаров
источник
2
wauctla.exeне злой wauctla.exeиспользуется Центром обновления Windows .
Ramhound
8
Это wuauclt.exeя верю.
Ливен Кирсмейкерс
14
wauctla.exe это вредоносная программа, и это обнаруживается Avast.
Ади
1
Вы спрашиваете нас, что делает эта угроза, когда вы даже не идентифицировали ее? Значит ли это, что вы не знаете, как его идентифицировать или что это не известная угроза?
Джейсон
4
@ AndréDaniel Разница в оттенках серого - мир не черно-белый. Вирус не вирус. Если вы получили что-то с сайта Downloads.com, нажмите «Принять» и получите Vosteran Toolbar Awesomifier !!! ... вы получили mal / ad / spy-ware - не вирус / троян. Это «бонусное программное обеспечение», и вы нажали «принять», чтобы сделать его «неавторизованным». Должен ли AV удалить / удалить это? Может быть, а может и нет. en.wikipedia.org/wiki/Malware#Grayware - вот почему MB / SpyBot / etc так же распространены, как и они.
WernerCD

Ответы:

38

Не используйте Process Monitor для этого. Используйте как предложенный @DavidPostill VirusTotal, но без отправки файлов вручную Process Explorer от SysInternals имеет встроенную функциональность VirusTotal. Просто зайдите в Параметры -> VirusTotal.com -> Проверьте VirusTotal.com и появится столбец с заголовком VirusTotal. Через несколько секунд вы получите рейтинг VirusTotal для каждого исполняемого файла.

введите описание изображения здесь

Из Process Explorer вы можете напрямую убить вредоносный процесс или узнать, с какой службой Windows запущен этот процесс, а также остановить и отключить эту службу. Это хороший способ сделать это, потому что если вы убьете процесс, базовый сервис может немедленно воссоздать вредоносный процесс. Чтобы найти службу для процесса, дважды щелкните процесс и перейдите на вкладку «Службы».

Роберт Нестрой
источник
3
@ AndréDaniel Process Explorer отправляет только хэши процессов, которые он сканирует автоматически. Чтобы отправить весь файл для анализа, вы должны сделать это вручную, запустив сканирование через окно сведений о процессе или DLL (см. Диалоговое окно «Условия обслуживания», как показано здесь ).
Я говорю Восстановить Монику
@ Твисти, ладно, ничего, не знал.
1
Что ж, ваша точка зрения в аспектах, по которым она верна, остается верной, поскольку можно представить весь файл, но не автоматически.
Я говорю, восстановите Монику
31

Как мне оценить угрозу, вызванную вредоносным ПО?

Вы можете отправить свой файл в VirusTotal для онлайн-анализа.

  • VirusTotal проверяет файл, используя более 40 антивирусных решений.
  • Это по крайней мере скажет вам, если какое-либо антивирусное программное обеспечение может обнаружить его.
  • Если вы получили положительную идентификацию, вы можете найти имя вируса, чтобы узнать больше о том, как он работает и какую угрозу он представляет.

Что такое VirusTotal

VirusTotal, дочерняя компания Google, представляет собой бесплатный онлайн-сервис, который анализирует файлы и URL-адреса, позволяя выявлять вирусы, черви, трояны и другие виды вредоносного контента, обнаруживаемые антивирусными механизмами и сканерами веб-сайтов. В то же время, он может использоваться как средство для обнаружения ложных срабатываний, то есть безвредных ресурсов, обнаруженных как вредоносные одним или несколькими сканерами.

Источник VirusTotal

ДэвидПостилл
источник