Найдены новые вредоносные программы, не обнаруженные антивирусом. Как оценить угрозу?
На рабочей станции Windows 7, на которой установлен современный антивирус (Kaspersky), я обнаружил несколько подозрительных процессов. Чтобы посмотреть на активность процесса, я использовал отличный ProcessMonitor от SysInternals.
У одного из них было исполняемое имя wauctla.exe находится в C:\Windows, Обновление: имя, вероятно, выбрано намеренно, чтобы быть перепутанным с wuauclt.exe - утилита управления агентом обновления Windows.
Этот процесс выполняется как системная служба. С помощью оснастки "Консоль управления" мне удалось изменить параметры запуска этого процесса с "Автоматически" на "Отключено". Однако я никак не мог остановить запущенный процесс через оснастку MMC.
Мне все же удалось остановить процесс с taskkill /f /PID команда. Я перезапустил ОС, и процесс больше не отображается в списке процессов.
В superuser есть отличная ветка о процедурах, необходимых для удаления вредоносных программ с компьютеров под управлением Windows. Когда подозрительные процессы были остановлены и их исполняемые файлы перемещены в безопасное место вдали от пути поиска исполняемых файлов, я хочу узнать больше о новом вредоносном ПО.
Какая угроза исходит из этого файла? Существует ли какое-либо антивирусное программное обеспечение, способное обнаружить этот вирус? Как это распространяется, должен ли я проверять другие компьютеры, к которым обращался тот же пользователь после заражения этой рабочей станции?
Обновление 2: после ответов, относящихся к virustotal, приведена ссылка на сводку virustotal об этой части вредоносного ПО.
2 ответа
Не используйте Process Monitor для этого. Используйте как предложенный @DavidPostill VirusTotal, но без отправки файлов вручную. Process Explorer от SysInternals имеет встроенную функциональность VirusTotal. Просто зайдите в Параметры -> VirusTotal.com -> Проверьте VirusTotal.com и появится столбец с заголовком VirusTotal. Через несколько секунд вы получите рейтинг VirusTotal для каждого исполняемого файла.
Из Process Explorer вы можете напрямую убить вредоносный процесс или узнать, с какой службой Windows запущен этот процесс, а также остановить и отключить эту службу. Это хороший способ сделать это, потому что если вы убьете процесс, базовый сервис может немедленно воссоздать вредоносный процесс. Чтобы найти службу для процесса, дважды щелкните процесс и перейдите на вкладку "Службы".
Как мне оценить угрозу, вызванную вредоносным ПО?
Вы можете отправить свой файл в VirusTotal для онлайн-анализа.
- VirusTotal проверяет файл, используя более 40 антивирусных решений.
- Это по крайней мере скажет вам, если какое-либо антивирусное программное обеспечение может обнаружить его.
- Если вы получили положительную идентификацию, вы можете найти имя вируса, чтобы узнать больше о том, как он работает и какую угрозу он представляет.
Что такое VirusTotal
VirusTotal, дочерняя компания Google, представляет собой бесплатный онлайн-сервис, который анализирует файлы и URL-адреса, позволяя выявлять вирусы, черви, трояны и другие виды вредоносного контента, обнаруживаемые антивирусными механизмами и сканерами веб-сайтов. В то же время он может использоваться как средство для обнаружения ложных срабатываний, то есть безвредных ресурсов, обнаруженных как вредоносные одним или несколькими сканерами.
Источник VirusTotal