Foi encontrado um novo malware não detectado pelo antivírus. Como avaliar a ameaça?

26

Em uma estação de trabalho Windows 7 executando um pacote antivírus atualizado (Kaspersky), encontrei vários processos suspeitos. Para analisar a atividade do processo, usei o excelente ProcessMonitor da SysInternals.

Um deles tinha um nome de executável wauctla.exelocalizado em C:\Windows. Atualização: o nome provavelmente foi escolhido deliberadamente para ser confundido wuauclt.exe- o utilitário Windows Update Agent Control.

Esse processo é executado como um serviço do sistema. Usando o snap-in de serviços do Console de Gerenciamento, consegui alterar as configurações de inicialização deste processo de "Automático" para "Desativado". No entanto, não havia como parar o processo em execução através do snap-in do MMC.

Eu ainda consegui parar o processo com o taskkill /f /PIDcomando Reiniciei o sistema operacional e o processo não é mais visto na lista de processos.

Há um excelente tópico no superusuário nos procedimentos necessários para remover malware genérico de computadores executando o Windows. Quando os processos suspeitos forem interrompidos e seus arquivos executáveis ​​forem movidos para um local seguro, longe do caminho de pesquisa executável, quero saber mais sobre o novo malware.

Que tipo de ameaça vem desse arquivo? Existe algum software antivírus disponível para detectar esse vírus? Como se espalha, devo verificar outros computadores que foram acessados ​​pelo mesmo usuário após a infecção desta estação de trabalho?

Atualização 2: seguindo as respostas referentes ao virustotal, aqui está um link para o resumo do virustotal deste malware.

Dmitri Chubarov
fonte
2
wauctla.exenão é malicioso. wauctla.exeé usado pelo Windows Update .
Ramhound
8
É nisso que wuauclt.exeeu acredito.
Lieven Keersmaekers
14
wauctla.exe é um malware e é detectado pelo Avast.
Adi
1
Você está nos perguntando o que essa ameaça faz quando você nem a identificou? Isso significa que você não sabe como identificá-lo ou que não é uma ameaça conhecida?
Jason
4
@ AndréDaniel A diferença é em tons de cinza - o mundo não é preto e branco. Vírus não é um vírus. Se você obtém algo do Downloads.com, clique em aceitar e obtenha o Vosteran Toolbar Awesomifier !!! ... você tem um malware / ad / spy-ware - não um vírus / cavalo de Troia. É um "software bônus" e você clicou em aceitar, deixando de ser "não autorizado". Um antivírus deve desinstalar / remover isso? Talvez talvez não. pt.wikipedia.org/wiki/Malware#Grayware - é por isso que MB / SpyBot / etc são tão prevalentes quanto são.
WernerCD

Respostas:

38

Não use o Process Monitor para isso. Use como o VirusTotal sugerido pelo @DavidPostill, mas sem enviar manualmente os arquivos. O Process Explorer da SysInternals incorporou a funcionalidade VirusTotal. Basta ir para Opções -> VirusTotal.com -> Verificar VirusTotal.com e uma coluna com o cabeçalho VirusTotal será exibida. Após alguns segundos, você receberá a classificação do VirusTotal para cada executável.

insira a descrição da imagem aqui

No Process Explorer, você pode eliminar diretamente o processo malicioso ou descobrir para qual serviço do Windows iniciou esse processo e parar e desativar esse serviço. Essa é uma boa maneira de fazer, porque se você interromper o processo, o serviço subjacente poderá recriar imediatamente o processo malicioso. Para descobrir o serviço para um processo, clique duas vezes no processo e vá para a guia Serviços.

Robert Niestroj
fonte
3
@ AndréDaniel O Process Explorer envia apenas hashes de processos que ele verifica automaticamente. Para enviar um arquivo inteiro para análise, você deve fazer isso iniciando manualmente uma verificação através da janela de detalhes do Processo ou DLL (consulte a caixa de diálogo Termos de Serviço, como mostrado aqui ).
Eu digo Restabelecer Monica
@ Twisty ok deixa pra lá, não sabia disso.
1
Bem, seu ponto de vista sobre os aspectos corretos permanece válido, pois é possível enviar um arquivo inteiro, mas não automaticamente.
Eu digo Restabelecer Monica
31

Como faço para avaliar a ameaça causada por malware?

Você pode enviar seu arquivo para o VirusTotal para análise online.

  • O VirusTotal verifica o arquivo usando mais de 40 soluções antivírus.
  • Isso indica pelo menos se algum software antivírus é capaz de detectá-lo.
  • Se você obtiver uma identificação positiva, poderá procurar o nome do vírus para descobrir mais sobre como ele funciona e que ameaça representa.

O que é o VirusTotal

O VirusTotal, uma subsidiária do Google, é um serviço online gratuito que analisa arquivos e URLs, permitindo a identificação de vírus, worms, cavalos de Troia e outros tipos de conteúdo malicioso detectados por mecanismos antivírus e scanners de sites. Ao mesmo tempo, pode ser usado como um meio para detectar falsos positivos, ou seja, recursos inócuos detectados como maliciosos por um ou mais scanners.

Source VirusTotal

DavidPostill
fonte