Su una workstation Windows 7 che esegue una suite antivirus aggiornata (Kaspersky) ho trovato diversi processi sospetti. Per esaminare l'attività di processo ho usato l'eccellente ProcessMonitor di SysInternals.
Uno di loro aveva un nome eseguibile wauctla.exe
situato in C:\Windows
. Aggiornamento: il nome viene probabilmente scelto deliberatamente per essere confuso con wuauclt.exe
l'utilità di controllo dell'agente di Windows Update.
Questo processo viene eseguito come servizio di sistema. Utilizzando lo snap-in dei servizi della console di gestione sono stato in grado di modificare le impostazioni di avvio per questo processo da "Automatico" a "Disabilitato". Tuttavia, non è stato possibile interrompere il processo in esecuzione tramite lo snap-in MMC.
Sono ancora riuscito a interrompere il processo con il taskkill /f /PID
comando. Ho riavviato il sistema operativo e il processo non è più visualizzato nell'elenco dei processi.
Esiste un eccellente thread sul superutente sulle procedure necessarie per rimuovere malware generico dai computer che eseguono Windows. Quando i processi sospetti sono stati arrestati e i loro file eseguibili spostati in una posizione sicura lontano dal percorso di ricerca eseguibile, voglio saperne di più sul nuovo malware.
Che tipo di minaccia proviene da questo file? Esiste un software antivirus in grado di rilevare questo virus? Come si diffonde, devo controllare altri computer a cui lo stesso utente ha avuto accesso dopo che questa workstation è stata infettata?
Aggiornamento 2: seguendo le risposte relative a virustotal, ecco un link al riepilogo virustotal di questo malware.
wuauclt.exe
credo.
wauctla.exe
è un malware ed è rilevato da Avast.
wauctla.exe
non è malevolo.wauctla.exe
viene utilizzato da Windows Update .