Ditemukan malware baru yang tidak terdeteksi oleh antivirus. Bagaimana cara mengevaluasi ancaman?

26

Pada workstation Windows 7 menjalankan suite antivirus terbaru (Kaspersky) saya menemukan beberapa proses yang mencurigakan. Untuk melihat aktivitas proses, saya menggunakan ProcessMonitor yang sangat baik dari SysInternals.

Salah satunya memiliki nama yang dapat dieksekusi yang wauctla.exeterletak di C:\Windows. Pembaruan: nama ini mungkin sengaja dipilih untuk dikacaukan dengan wuauclt.exe- utilitas Windows Update Agent Control.

Proses ini berjalan sebagai Layanan Sistem. Menggunakan snap-in layanan Konsol Manajemen, saya dapat mengubah pengaturan startup untuk proses ini dari "Otomatis" menjadi "Nonaktif". Namun tidak ada cara saya bisa menghentikan proses yang berjalan melalui snap-in MMC.

Saya masih berhasil menghentikan proses dengan taskkill /f /PIDperintah. Saya me-restart OS dan prosesnya tidak lagi terlihat dalam daftar proses.

Ada utas superuser tentang prosedur yang diperlukan untuk menghapus malware generik dari komputer yang menjalankan Windows. Ketika proses mencurigakan telah dihentikan dan file yang dapat dieksekusi dipindahkan ke lokasi yang aman jauh dari jalur pencarian yang dapat dieksekusi, saya ingin mempelajari lebih lanjut tentang malware baru.

Ancaman macam apa yang datang dari file ini? Apakah ada perangkat lunak antivirus di sekitar yang dapat mendeteksi virus ini? Bagaimana cara penyebarannya, haruskah saya memeriksa komputer lain yang diakses oleh pengguna yang sama setelah workstation ini terinfeksi?

Pembaruan 2: Mengikuti jawaban yang merujuk pada virustotal, berikut adalah tautan ke ringkasan virustotal dari bagian malware ini.

windows-7 windows anti-virus malware process-explorer Dmitri Chubarov
sumber
2
wauctla.exetidak berbahaya wauctla.exedigunakan oleh Pembaruan Windows .
Ramhound
8
Itu wuauclt.exesaya percaya.
Lieven Keersmaekers
14
wauctla.exe adalah malware, dan terdeteksi oleh Avast.
Adi
1
Anda bertanya kepada kami apa ancaman ini ketika Anda bahkan belum mengidentifikasinya? Apakah ini berarti bahwa Anda tidak tahu cara mengidentifikasi atau bahwa itu bukan ancaman yang diketahui?
Jason
4
@ AndréDaniel Perbedaannya adalah nuansa abu-abu - dunia tidak hitam dan putih. Virus bukan virus. Jika Anda mendapatkan sesuatu dari Downloads.com, klik terima dan dapatkan Vosteran Toolbar Awesomifier !!! ... Anda mendapat mal / iklan / spy-ware - bukan virus / trojan. Ini "perangkat lunak bonus" dan Anda mengklik terima sehingga tidak lagi "tidak sah". Haruskah AV mencopot / menghapusnya? Mungkin tidak. en.wikipedia.org/wiki/Malware#Grayware - karena itulah MB / SpyBot / etc sama lazimnya dengan mereka.
WernerCD

Jawaban:

38

Jangan gunakan Monitor Proses untuk itu. Gunakan seperti @DavidPostill menyarankan VirusTotal tetapi tanpa mengirim file secara manual. Process Explorer dari SysInternals telah membangun fungsionalitas VirusTotal. Cukup buka Opsi -> VirusTotal.com -> Periksa VirusTotal.com dan kolom dengan header VirusTotal akan muncul. Setelah beberapa detik, Anda akan mendapatkan nilai VirusTotal untuk setiap yang dapat dieksekusi.

masukkan deskripsi gambar di sini

Dari Process Explorer, Anda dapat langsung mematikan proses jahat atau mengetahui Layanan Windows mana yang memulai proses ini dan menghentikan dan menonaktifkan layanan ini. Ini adalah cara yang baik untuk dilakukan, karena jika Anda mematikan proses layanan yang mendasarinya mungkin segera menciptakan kembali proses jahat. Untuk mengetahui layanan untuk suatu proses, klik dua kali prosesnya dan buka tab Layanan.

Robert Niestroj
sumber
3
@ AndréDaniel Process Explorer hanya mengirim hash proses yang dipindai secara otomatis. Untuk mengirim seluruh file untuk analisis, Anda harus melakukannya dengan melakukan pemindaian secara manual melalui jendela Proses atau rincian DLL (lihat kotak dialog Ketentuan Layanan seperti yang ditunjukkan di sini ).
Saya katakan Reinstate Monica
@ Twisty oke tidak apa-apa, tidak tahu itu.
1
Nah, poin Anda pada aspek yang benar tetap valid karena dimungkinkan untuk mengirimkan seluruh file, hanya saja tidak secara otomatis.
Saya katakan Reinstate Monica
31

Bagaimana cara saya mengevaluasi ancaman yang disebabkan oleh malware?

Anda dapat mengirimkan file Anda ke VirusTotal untuk analisis online.

  • VirusTotal memeriksa file menggunakan lebih dari 40 solusi antivirus.
  • Setidaknya ini akan memberi tahu Anda jika ada perangkat lunak antivirus yang dapat mendeteksinya.
  • Jika Anda mendapatkan identifikasi positif, Anda kemudian dapat mencari nama virus untuk mengetahui lebih lanjut tentang cara kerjanya dan ancaman apa yang ditimbulkannya.

Apa itu VirusTotal

VirusTotal, anak perusahaan Google, adalah layanan online gratis yang menganalisis file dan URL yang memungkinkan identifikasi virus, worm, trojan, dan jenis konten berbahaya lainnya yang terdeteksi oleh mesin antivirus dan pemindai situs web. Pada saat yang sama, itu dapat digunakan sebagai alat untuk mendeteksi positif palsu, yaitu sumber daya tidak berbahaya yang terdeteksi sebagai berbahaya oleh satu atau lebih pemindai.

Sumber VirusTotal

DavidPostill
sumber