Trovato nuovo malware non rilevato dall'antivirus. Come valutare la minaccia?

Su una workstation Windows 7 che esegue una suite antivirus aggiornata (Kaspersky) ho trovato diversi processi sospetti. Per esaminare l'attività di processo ho usato l'eccellente ProcessMonitor di SysInternals.

Uno di loro aveva un nome eseguibile wauctla.exesituato in C:\Windows. Aggiornamento: il nome viene probabilmente scelto deliberatamente per essere confuso con wuauclt.exel'utilità di controllo dell'agente di Windows Update.

Questo processo viene eseguito come servizio di sistema. Utilizzando lo snap-in dei servizi della console di gestione sono stato in grado di modificare le impostazioni di avvio per questo processo da "Automatico" a "Disabilitato". Tuttavia, non è stato possibile interrompere il processo in esecuzione tramite lo snap-in MMC.

Sono ancora riuscito a interrompere il processo con il taskkill /f /PIDcomando. Ho riavviato il sistema operativo e il processo non è più visualizzato nell'elenco dei processi.

Esiste un eccellente thread sul superutente sulle procedure necessarie per rimuovere malware generico dai computer che eseguono Windows. Quando i processi sospetti sono stati arrestati e i loro file eseguibili spostati in una posizione sicura lontano dal percorso di ricerca eseguibile, voglio saperne di più sul nuovo malware.

Che tipo di minaccia proviene da questo file? Esiste un software antivirus in grado di rilevare questo virus? Come si diffonde, devo controllare altri computer a cui lo stesso utente ha avuto accesso dopo che questa workstation è stata infettata?

Aggiornamento 2: seguendo le risposte relative a virustotal, ecco un link al riepilogo virustotal di questo malware.

— Dmitri Chubarov
fonte

wauctla.exenon è malevolo. wauctla.exeviene utilizzato da Windows Update .

— Ramhound,

Questo wuauclt.execredo.

— Lieven Keersmaekers,

wauctla.exe è un malware ed è rilevato da Avast.

— Adi

Ci stai chiedendo cosa fa questa minaccia quando non l'hai nemmeno identificata? Questo significa che non sai come identificarlo o che non è una minaccia nota?

— Jason

@ AndréDaniel La differenza è nelle sfumature del grigio: il mondo non è bianco e nero. Virus non un virus. Se ricevi qualcosa da Downloads.com, fai clic su accetta e ottieni Vosteran Toolbar Awesomifier !!! ... hai mal / ad / spy-ware - non un virus / trojan. È "software bonus" e hai fatto clic su accetta per renderlo non più "non autorizzato". Un AV dovrebbe disinstallarlo / rimuoverlo? Forse sì forse no. it.wikipedia.org/wiki/Malware#Grayware - ecco perché MB / SpyBot / etc sono tanto diffusi quanto loro.

— WernerCD,

Risposte:

Non usare Process Monitor per questo. Utilizza come suggerito da VirusDotid @DavidPostill ma senza inviare manualmente i file. Process Explorer di SysInternals ha incorporato la funzionalità VirusTotal. Vai su Opzioni -> VirusTotal.com -> Controlla VirusTotal.com e apparirà una colonna con l'intestazione VirusTotal. Dopo alcuni secondi otterrai la valutazione di VirusTotal per ciascun eseguibile.

inserisci qui la descrizione dell'immagine

Da Process Explorer è possibile interrompere direttamente il processo dannoso o scoprire a quale servizio di Windows è stato avviato questo processo e arrestare e disabilitare questo servizio. Questo è un buon modo di fare, perché se si interrompe il processo il servizio sottostante potrebbe ricreare immediatamente il processo dannoso. Per scoprire il servizio per un processo, fai doppio clic sul processo e vai alla scheda Servizi.

— Robert Niestroj
fonte

@ AndréDaniel Process Explorer invia solo hash di processi che scansiona automaticamente. Per inviare un intero file per l'analisi, è necessario farlo avviando manualmente una scansione tramite la finestra Dettagli processo o DLL (consultare la finestra di dialogo Termini di servizio, come mostrato qui ).

— Dico Reintegrare Monica il

@Twisty okay non importa, non lo sapevo.

Bene, il tuo punto sugli aspetti su cui è corretto rimane valido visto che è possibile inviare un intero file, ma non automaticamente.

— Dico Reintegrare Monica il

Come posso valutare la minaccia causata dal malware?

È possibile inviare il file a VirusTotal per l'analisi online.

VirusTotal controlla il file utilizzando oltre 40 soluzioni antivirus.
Questo ti dirà almeno se qualche software antivirus è in grado di rilevarlo.
Se ottieni un'identificazione positiva, puoi cercare il nome del virus per scoprire di più su come funziona e quale minaccia rappresenta.

Cos'è VirusTotal

VirusTotal, una consociata di Google, è un servizio online gratuito che analizza file e URL che consentono l'identificazione di virus, worm, trojan e altri tipi di contenuti dannosi rilevati da motori antivirus e scanner di siti Web. Allo stesso tempo, può essere utilizzato come mezzo per rilevare falsi positivi, ovvero risorse innocue rilevate come dannose da uno o più scanner.

Totale virus di origine

— DavidPostill
fonte