題 發現防病毒未檢測到新的惡意軟件。如何評估威脅?


在運行最新防病毒套件(卡巴斯基)的Windows 7工作站上,我發現了幾個可疑進程。為了查看流程活動,我使用了SysInternals的優秀ProcessMonitor。

其中一個有可執行文件名 wauctla.exe 位於 C:\Windows更新: 這個名字可能是故意選擇與之混淆的 wuauclt.exe  - Windows Update代理控制實用程序。

此過程作為系統服務運行。使用管理控制台服務管理單元,我可以將此過程的啟動設置從“自動”更改為“已禁用”。但是我無法通過MMC管理單元停止運行過程。

我仍然設法停止了這個過程 taskkill /f /PID 命令。我重新啟動了操作系統,進程列表中不再顯示該進程。

有一個 優秀的線程 在超級用戶上有關從運行Windows的計算機中刪除通用惡意軟件所需的過程。當可疑進程已停止並且其可執行文件移動到遠離可執行搜索路徑的安全位置時,我想了解有關新惡意軟件的更多信息。

這個文件有什麼樣的威脅?是否有可以檢測到這種病毒的防病毒軟件?如何在該工作站被感染後檢查同一用戶訪問的其他計算機,它是如何傳播的?

更新2: 關於virustotal的答案,這裡是 一條鏈接 對這一惡意軟件的總結。


26
2018-03-09 08:48


起源


wauctla.exe 不是惡意的。 wauctla.exe 用於 Windows更新。 - Ramhound
那是 wuauclt.exe 我相信。 - Lieven Keersmaekers
wauctla.exe  是 惡意軟件,它被Avast檢測到。 - Adi
當你甚至沒有發現它時,你問我們這個威脅會起什麼作用?這是否意味著您不知道如何識別它或它不是已知的威脅? - Jason
@AndréDaniel不同之處在於灰色陰影 - 世界並非黑白分明。病毒不是病毒。如果你從Downloads.com獲得了一些東西,點擊接受並獲得Vosteran Toolbar Awesomifier !!! ...你得到了mal / ad / spy-ware - 而不是病毒/木馬。這是“獎金軟件”,你點擊接受讓它不再“未經授權”。應該AV卸載/刪除嗎?也許,也許不是。 en.wikipedia.org/wiki/Malware#Grayware  - 這就是為什麼MB / SpyBot /等與它們一樣普遍。 - WernerCD


答案:


不要使用Process Monitor。使用像@DavidPostill建議的VirusTotal但不需要手動發送文件。 Process Explorer 來自SysInternals的內置VirusTotal功能。去吧 選項 - > VirusTotal.com - >檢查VirusTotal.com 並將出現一個標題為VirusTotal的列。幾秒鐘後,您將獲得每個可執行文件的VirusTotal評級。

enter image description here

在Process Explorer中,您可以直接終止惡意進程或查找Windows服務啟動此進程並停止和禁用此服務。這是一種很好的方法,如果您終止進程,底層服務可能會立即重新創建惡意進程。要查找進程的服務,請雙擊該進程並轉到“服務”選項卡。


38
2018-03-09 14:17



@AndréDaniel僅限Process Explorer 發送哈希 它自動掃描的進程要發送整個文件進行分析,您必須通過手動啟動掃描來完成此操作 處理 要么 DLL 詳細信息窗口(請參閱服務條款對話框,如圖所示 這裡)。 - Twisty Impersonator
@Twisty好吧沒關係,不知道那個。
那麼,你在正確方面的觀點仍然有效,因為它可以提交整個文件,而不是自動提交。 - Twisty Impersonator


如何評估惡意軟件造成的威脅?

您可以將文件提交給 VirusTotal 用於在線分析。

  • VirusTotal使用40多種防病毒解決方案檢查文件。
  • 這至少會告訴您是否有任何防病毒軟件能夠檢測到它。
  • 如果您獲得了肯定的身份證明,那麼您可以搜索病毒的名稱,以了解有關其如何運作以及它帶來的威脅的更多信息。

什麼是VirusTotal

VirusTotal是谷歌的子公司,是一個免費的在線服務   分析文件和URL 能夠識別病毒,蠕蟲,   特洛伊木馬和其他惡意內容 由防病毒軟件檢測到   引擎和網站掃描儀。同時,它可以用作   意味著檢測誤報,即檢測到的無害資源   一個或多個掃描儀惡意攻擊。

資源 VirusTotal


31
2018-03-09 08:56