Gefundene neue Malware, die von Antivirus nicht erkannt wurde. Wie bewerte ich die Bedrohung?

26

Auf einer Windows 7-Workstation mit einer aktuellen Antivirensuite (Kaspersky) habe ich mehrere verdächtige Prozesse gefunden. Um die Prozessaktivität zu betrachten, habe ich den exzellenten ProcessMonitor von SysInternals verwendet.

Einer von ihnen hatte einen ausführbaren Namen wauctla.exein C:\Windows. Update: Der Name wurde wahrscheinlich absichtlich gewählt, um mit wuauclt.exedem Windows Update Agent Control-Dienstprogramm verwechselt zu werden .

Dieser Prozess wird als Systemdienst ausgeführt. Mit dem Management Console-Dienst-Snap-In konnte ich die Starteinstellungen für diesen Prozess von "Automatisch" in "Deaktiviert" ändern. Ich konnte den laufenden Prozess jedoch auf keinen Fall über das MMC-Snap-In stoppen.

Es gelang mir immer noch, den Prozess mit dem taskkill /f /PIDBefehl zu stoppen . Ich habe das Betriebssystem neu gestartet und der Prozess ist nicht mehr in der Prozessliste zu sehen.

Es gibt einen ausgezeichneten Superuser- Thread zu den Verfahren, die zum Entfernen generischer Malware von Computern unter Windows erforderlich sind. Wenn die verdächtigen Prozesse gestoppt wurden und ihre ausführbaren Dateien an einen sicheren Ort außerhalb des Suchpfads für ausführbare Dateien verschoben wurden, möchte ich mehr über die neue Malware erfahren.

Welche Art von Bedrohung geht von dieser Datei aus? Gibt es eine Antivirensoftware, die diesen Virus erkennen kann? Wie verbreitet es sich, sollte ich andere Computer überprüfen, auf die derselbe Benutzer zugegriffen hat, nachdem diese Workstation infiziert wurde?

Update 2: Nach den Antworten zu virustotal finden Sie hier einen Link zur virustotal-Zusammenfassung dieser Malware.

windows-7 windows anti-virus malware process-explorer Dmitri Chubarov
quelle
2
wauctla.exeist nicht bösartig. wauctla.exewird von Windows Update verwendet .
Ramhound
8
Das wuauclt.exeglaube ich.
Lieven Keersmaekers
14
wauctla.exe ist eine Malware und wird von Avast erkannt.
Adi
1
Sie fragen uns, was diese Bedrohung bewirkt, wenn Sie sie noch nicht einmal identifiziert haben? Bedeutet dies, dass Sie nicht wissen, wie Sie es identifizieren sollen, oder dass es sich nicht um eine bekannte Bedrohung handelt?
Jason
4
@ AndréDaniel Der Unterschied ist Graustufen - die Welt ist nicht schwarz und weiß. Virus kein Virus. Wenn Sie etwas von Downloads.com erhalten, klicken Sie auf Akzeptieren und holen Sie sich Vosteran Toolbar Awesomifier !!! ... Sie haben mal / ad / spy-ware - kein Virus / Trojaner. Es handelt sich um "Bonussoftware", und Sie haben auf "Akzeptieren" geklickt, sodass es nicht mehr "nicht autorisiert" ist. Sollte ein AV das deinstallieren / entfernen? Vielleicht, vielleicht nicht. en.wikipedia.org/wiki/Malware#Grayware - deshalb sind MB / SpyBot / etc genauso verbreitet wie sie.
WernerCD

Antworten:

38

Verwenden Sie dazu nicht Process Monitor. Verwendung wie bei @DavidPostill vorgeschlagen, jedoch ohne manuelles Senden von Dateien. Process Explorer von SysInternals verfügt über eine integrierte VirusTotal-Funktionalität. Gehen Sie einfach zu Optionen -> VirusTotal.com -> VirusTotal.com überprüfen und eine Spalte mit der Überschrift VirusTotal wird angezeigt. Nach einigen Sekunden erhalten Sie die VirusTotal-Bewertung für jede ausführbare Datei.

Bildbeschreibung hier eingeben

Über den Prozess-Explorer können Sie den schädlichen Prozess direkt beenden oder herausfinden, von welchem ​​Windows-Dienst dieser Prozess gestartet wurde, und diesen Dienst beenden und deaktivieren. Dies ist eine gute Möglichkeit, da der zugrunde liegende Dienst den schädlichen Prozess möglicherweise sofort neu erstellt, wenn Sie den Prozess beenden. Um den Dienst für einen Prozess zu ermitteln, doppelklicken Sie auf den Prozess und wechseln Sie zur Registerkarte Dienste.

Robert Niestroj
quelle
3
@ AndréDaniel Process Explorer sendet nur Hashes von Prozessen, die automatisch gescannt werden. Um eine gesamte Datei zur Analyse zu senden, müssen Sie einen Scan manuell über das Fenster Prozess- oder DLL- Details starten (siehe das hier gezeigte Dialogfeld Nutzungsbedingungen ).
Ich sage Reinstate Monica
@ Twisty okay, egal, das wusste ich nicht.
1
Nun, Ihr Standpunkt zu den Aspekten, in denen er richtig ist, bleibt gültig, da es möglich ist, eine ganze Datei einzureichen, nur nicht automatisch.
Ich sage "Reinstate Monica
31

Wie kann ich die Bedrohung durch Malware bewerten?

Sie können Ihre Datei zur Online-Analyse an VirusTotal senden .

  • VirusTotal überprüft die Datei mit über 40 Antivirenlösungen.
  • Dies zeigt Ihnen zumindest an, ob eine Antivirensoftware diese erkennt.
  • Wenn Sie eine positive Identifikation erhalten, können Sie nach dem Namen des Virus suchen, um mehr darüber zu erfahren, wie es funktioniert und welche Bedrohung es darstellt.

Was ist VirusTotal?

VirusTotal, eine Tochtergesellschaft von Google, ist ein kostenloser Onlinedienst, der Dateien und URLs analysiert und die Identifizierung von Viren, Würmern, Trojanern und anderen schädlichen Inhalten ermöglicht, die von Antivirus-Engines und Website-Scannern erkannt werden. Gleichzeitig kann es als Mittel zum Erkennen von Fehlalarmen verwendet werden, dh von harmlosen Ressourcen, die von einem oder mehreren Scannern als bösartig erkannt wurden.

Source VirusTotal

DavidPostill
quelle