Знайдено, що антивірус не виявив нових шкідливих програм. Як оцінити загрозу?


26

На робочій станції Windows 7, що працює з оновленим антивірусним пакетом (Kaspersky), я знайшов кілька підозрілих процесів. Щоб подивитися на процес, я використовував відмінний ProcessMonitor від SysInternals.

Один з них мав виконавче ім'я wauctla.exe розташований у C:\Windows. Оновити: Ім'я, ймовірно, вибирається навмисно, щоб його можна було збити wuauclt.exe - утиліту керування агентом Windows Update.

Цей процес виконується як служба системи. За допомогою оснащення служб консолі керування я зміг змінити налаштування запуску цього процесу з "Автоматичний" на "Вимкнено". Проте я не міг зупинити запущений процес за допомогою оснащення MMC.

Мені все ж вдалося зупинити процес з taskkill /f /PID команду. Я перезавантажив ОС, і процес більше не бачив у списку процесів.

Є відмінна нитка на суперкористувача на процедури, необхідні для видалення загальних шкідливих програм з комп'ютерів під управлінням Windows. Коли підозрілі процеси були зупинені, а виконувані файли перенесені на безпечне місце, від шляху до виконуваного пошуку, я хочу дізнатися більше про новий зловмисне програмне забезпечення.

Яку загрозу має цей файл? Чи існує антивірусне програмне забезпечення, яке може виявити цей вірус? Як він поширюється, чи слід перевіряти інші комп'ютери, до яких користувався той самий користувач після зараження цієї робочої станції?

Оновлення 2: Слідуючи відповідям, що стосуються вірусоталу, ось посилання до загального підсумку цієї частини шкідливого програмного забезпечення.


2
wauctla.exe не є шкідливим. wauctla.exe використовується Windows Update .
Ramhound

8
Ось wuauclt.exe Я вірю.
Lieven Keersmaekers

14
wauctla.exe є шкідливе програмне забезпечення, і його виявляє Avast.
Adi

1
Ви запитуєте нас, що робить ця загроза, коли ви навіть не визначили її? Чи означає це, що ви не знаєте, як його ідентифікувати, або що це не відома загроза?
Jason

4
@ AndréDaniel Різниця - відтінки сірого - світ не чорний і білий. Вірус не вірус. Якщо ви отримали щось з Downloads.com, натисніть кнопку "Прийняти" та отримайте Vosteran Toolbar Awesomifier !!! ... ви отримали mal / ad / spy-ware - не вірус / троян. Це "бонусне програмне забезпечення", і ви натиснули "Прийняти", що робить його "несанкціонованим". Чи потрібно видаляти або видаляти це? Можливо, можливо, ні. en.wikipedia.org/wiki/Malware#Grayware - ось чому MB / SpyBot / etc є такими ж поширеними, як і вони.
WernerCD

Відповіді:


38

Для цього не використовуйте Process Monitor. Використовуйте, як @DavidPostill запропонував VirusTotal, але без ручного надсилання файлів. Process Explorer від SysInternals вбудована функціональність VirusTotal. Просто зайдіть Параметри - & gt; VirusTotal.com - & gt; Перевірте VirusTotal.com з'явиться колонка з заголовком VirusTotal. Через кілька секунд ви отримаєте рейтинг VirusTotal для кожного виконуваного файлу.

enter image description here

З Process Explorer ви можете безпосередньо вбити шкідливий процес або дізнатися, до якої служби Windows було запущено цей процес, і зупинити та вимкнути цю службу. Це хороший спосіб зробити, тому що, якщо ви вб'єте процес, основна служба може відразу ж відновити шкідливий процес. Щоб дізнатися про службу для процесу, двічі клацніть цей процес і перейдіть на вкладку Служби.


3
@ AndréDaniel - лише провідник процесу посилає хеші процесів, які він сканує автоматично. Щоб надіслати весь файл для аналізу, ви повинні зробити це, вручну ініціюючи сканування за допомогою Процес або DLL (див. діалогове вікно Умови надання послуг, як показано на малюнку) тут ).
Twisty Impersonator

@ Twisty добре nevermind, не знав, що.

1
Ну, ваша точка в аспектах, на яких вона правильна, залишається вірною, оскільки можна подати весь файл, а не автоматично.
Twisty Impersonator

31

Як оцінити загрозу, спричинену шкідливим програмним забезпеченням?

Ви можете надіслати свій файл VirusTotal для онлайн-аналізу.

  • VirusTotal перевіряє файл, використовуючи більше 40 антивірусних рішень.
  • Це, принаймні, повідомить вам, якщо антивірусне програмне забезпечення здатне його виявити.
  • Якщо ви отримаєте позитивну ідентифікацію, ви можете шукати ім'я вірусу, щоб дізнатися більше про те, як він працює і яку загрозу він створює.

Що таке VirusTotal

VirusTotal, дочірня компанія Google, це безкоштовна онлайн послуга   аналізує файли та URL-адреси можливість ідентифікації вірусів, хробаків,   трояни та інші види шкідливого вмісту виявлений антивірусом   двигуни та веб-сканери. У той же час він може бути використаний як a   засоби для виявлення помилкових спрацьовувань, тобто нешкідливих ресурсів, виявлених як   шкідливим для одного або більше сканерів.

Джерело VirusTotal

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.