พบมัลแวร์ใหม่ที่ตรวจไม่พบโดยโปรแกรมป้องกันไวรัส จะประเมินภัยคุกคามได้อย่างไร?

26

ในเวิร์กสเตชัน Windows 7 ที่ใช้ชุดโปรแกรมป้องกันไวรัสที่ทันสมัย ​​(Kaspersky) ฉันพบกระบวนการที่น่าสงสัยหลายอย่าง เพื่อดูกิจกรรมกระบวนการฉันใช้ ProcessMonitor ที่ยอดเยี่ยมจาก SysInternals

หนึ่งในนั้นมีชื่อที่ปฏิบัติการอยู่ในwauctla.exe อัปเดต:ชื่ออาจถูกเลือกโดยเจตนาที่จะสับสนกับ- ยูทิลิตี้ Windows Update Agent ControlC:\Windowswuauclt.exe

กระบวนการนี้ทำงานเป็นบริการของระบบ การใช้บริการ Management Console snap-in ฉันสามารถเปลี่ยนการตั้งค่าเริ่มต้นสำหรับกระบวนการนี้จาก "อัตโนมัติ" เป็น "ปิดการใช้งาน" อย่างไรก็ตามไม่มีวิธีที่ฉันสามารถหยุดกระบวนการทำงานผ่าน MMC snap-in ได้

ฉันยังคงจัดการเพื่อหยุดกระบวนการด้วยtaskkill /f /PIDคำสั่ง ฉันรีสตาร์ทระบบปฏิบัติการและกระบวนการไม่เห็นในรายการกระบวนการอีกต่อไป

มีเธรดที่ยอดเยี่ยมเกี่ยวกับ superuser ในขั้นตอนที่จำเป็นในการลบมัลแวร์ทั่วไปออกจากคอมพิวเตอร์ที่ใช้ Windows เมื่อกระบวนการที่น่าสงสัยหยุดลงและไฟล์ที่ปฏิบัติการได้ถูกย้ายไปยังตำแหน่งที่ปลอดภัยห่างจากเส้นทางการค้นหาที่เรียกใช้งานได้ฉันต้องการเรียนรู้เพิ่มเติมเกี่ยวกับมัลแวร์ใหม่

ไฟล์ประเภทนี้มีภัยคุกคามอะไรบ้าง มีซอฟต์แวร์ป้องกันไวรัสอยู่หรือไม่ที่สามารถตรวจจับไวรัสนี้ได้? ฉันควรตรวจสอบคอมพิวเตอร์เครื่องอื่น ๆ ที่ผู้ใช้รายเดียวกันเข้าถึงได้หลังจากที่เวิร์กสเตชันนี้ติดไวรัส

อัปเดต 2: ทำตามคำตอบที่อ้างถึง virustotal นี่คือลิงค์ไปยังบทสรุป virustotal ของมัลแวร์ชิ้นนี้

windows-7  windows  anti-virus  malware  process-explorer 
Dmitri Chubarov
แหล่งที่มา
2
wauctla.exeไม่เป็นอันตราย wauctla.exeจะถูกใช้โดยWindows Update
Ramhound
8
นั่นคือwuauclt.exeฉันเชื่อว่า
Lieven Keersmaekers
14
wauctla.exe เป็นมัลแวร์และตรวจพบโดย Avast
Adi
1
คุณกำลังถามเราว่าภัยคุกคามนี้เกิดขึ้นเมื่อคุณยังไม่ได้ระบุ หมายความว่าคุณไม่รู้วิธีระบุตัวตนหรือว่าไม่ใช่ภัยคุกคามที่รู้จัก
Jason
4
@ AndréDanielความแตกต่างคือเฉดสีเทา - โลกไม่ใช่ขาวดำ ไวรัสไม่ใช่ไวรัส หากคุณได้รับบางสิ่งบางอย่างจาก Downloads.com ให้คลิกยอมรับและรับ Vosteran Toolbar Awesomifier !!! ... คุณมี mal / ad / spy-ware - ไม่ใช่ไวรัส / โทรจัน เป็น "ซอฟต์แวร์โบนัส" และคุณคลิกยอมรับทำให้ไม่ "ไม่ได้รับอนุญาต" อีกต่อไป AV ควรถอนการติดตั้ง / ลบออกหรือไม่ อาจจะอาจจะไม่. en.wikipedia.org/wiki/Malware#Grayware - นั่นเป็นเหตุผลว่าทำไม MB / SpyBot / etc จึงแพร่หลายเหมือนอย่างที่พวกเขาเป็น
WernerCD

คำตอบ:

38

อย่าใช้การตรวจสอบกระบวนการสำหรับสิ่งนั้น ใช้ like @DavidPostill แนะนำ VirusTotal แต่ไม่มีการส่งไฟล์ด้วยตนเอง Process Explorerจาก SysInternals ได้สร้างขึ้นในฟังก์ชันการทำงานของ VirusTotal เพียงไปที่ตัวเลือก -> VirusTotal.com -> ตรวจสอบ VirusTotal.comและคอลัมน์ที่มีส่วนหัวของ VirusTotal จะปรากฏขึ้น หลังจากนั้นสองสามวินาทีคุณจะได้รับคะแนน VirusTotal สำหรับการปฏิบัติการแต่ละอย่าง

ป้อนคำอธิบายรูปภาพที่นี่

จาก Process Explorer คุณสามารถฆ่ากระบวนการที่เป็นอันตรายโดยตรงหรือค้นหาว่า Windows Service เริ่มต้นกระบวนการนี้อย่างไรและหยุดและปิดใช้งานบริการนี้ นี่เป็นวิธีที่ดีในการทำหากคุณฆ่ากระบวนการที่บริการพื้นฐานอาจสร้างกระบวนการที่เป็นอันตรายขึ้นใหม่ในทันที หากต้องการค้นหาบริการสำหรับกระบวนการดับเบิลคลิกที่กระบวนการและไปที่แท็บบริการ

Robert Niestroj
แหล่งที่มา
3
@ AndréDaniel Process Explorer ส่งเฉพาะแฮชของกระบวนการที่สแกนโดยอัตโนมัติ ในการส่งไฟล์ทั้งหมดเพื่อการวิเคราะห์คุณต้องทำโดยเริ่มการสแกนด้วยตนเองผ่านหน้าต่างรายละเอียดกระบวนการหรือDLL (ดูกล่องโต้ตอบข้อกำหนดในการให้บริการตามที่แสดงไว้ที่นี่ )
ฉันพูดว่า Reinstate Monica
@ Twisty โอเคไม่เป็นไรไม่ทราบว่า
1
จุดของคุณในแง่มุมที่ถูกต้องยังคงใช้ได้อยู่เนื่องจากคุณสามารถส่งไฟล์ทั้งหมดได้โดยอัตโนมัติ
ฉันพูดว่า Reinstate Monica
31

ฉันจะประเมินการคุกคามที่เกิดจากมัลแวร์ได้อย่างไร

คุณสามารถส่งไฟล์ของคุณไปยังVirusTotalสำหรับการวิเคราะห์ออนไลน์

  • VirusTotal ตรวจสอบไฟล์โดยใช้โซลูชั่นป้องกันไวรัสมากกว่า 40 รายการ
  • อย่างน้อยก็จะบอกคุณว่าซอฟต์แวร์ป้องกันไวรัสใด ๆ สามารถตรวจพบได้
  • หากคุณได้รับบัตรประจำตัวที่เป็นบวกคุณสามารถค้นหาชื่อของไวรัสเพื่อค้นหาข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำงานและภัยคุกคามที่เกิดขึ้น

VirusTotal คืออะไร

VirusTotal ซึ่งเป็น บริษัท ย่อยของ Google เป็นบริการออนไลน์ฟรีที่วิเคราะห์ไฟล์และ URL ที่เปิดใช้งานการระบุไวรัสเวิร์มโทรจันและเนื้อหาที่เป็นอันตรายประเภทอื่น ๆ ที่ตรวจพบโดยเครื่องมือป้องกันไวรัสและสแกนเนอร์เว็บไซต์ ในเวลาเดียวกันมันอาจถูกใช้เป็นเครื่องมือในการตรวจจับผลบวกที่ผิดพลาดเช่นทรัพยากรที่ไม่มีอันตรายที่ตรวจพบว่าเป็นอันตรายจากสแกนเนอร์ตั้งแต่หนึ่งเครื่องขึ้นไป

แหล่งรวมไวรัส

DavidPostill
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.