Antivirüs tarafından tespit edilmeyen yeni kötü amaçlı yazılım bulundu. Tehdit nasıl değerlendirilir?

26

Güncel bir virüsten koruma yazılımını çalıştıran bir Windows 7 iş istasyonunda (Kaspersky) Birkaç şüpheli işlem buldum. Proses aktivitesine bakmak için SysInternals'ın mükemmel ProcessMonitor'unu kullandım.

Bunlardan biri içinde wauctla.exebulunan çalıştırılabilir bir isme sahipti C:\Windows. Güncelleme: isim muhtemelen karıştırılmak üzere kasten seçilir wuauclt.exe- Windows Update Aracısı Denetimi yardımcı programı.

Bu işlem bir Sistem Hizmeti olarak çalışır. Yönetim Konsolu hizmetleri ek bileşenini kullanarak bu işlemin başlangıç ​​ayarlarını "Otomatik" ayarından "Devre dışı" olarak değiştirebildim. Ancak, çalışan işlemi MMC ek bileşeni aracılığıyla durduramamın bir yolu yoktu.

Komutla işlemi durdurmayı hala başardım taskkill /f /PID. İşletim sistemini yeniden başlattım ve işlem artık işlem listesinde görünmüyor.

Windows'da çalışan bilgisayarlardan genel kötü amaçlı yazılımları kaldırmak için gerekli prosedürlerde süper kullanıcı üzerinde mükemmel bir iş parçacığı vardır . Şüpheli işlemler durdurulduğunda ve yürütülebilir dosyaları yürütülebilir arama yolundan uzakta güvenli bir yere taşındığında, yeni kötü amaçlı yazılım hakkında daha fazla bilgi edinmek istiyorum.

Bu dosyadan ne tür bir tehdit geliyor? Bu virüsü tespit edebilen bir antivirüs yazılımı var mı? Bu iş istasyonu bulaşdıktan sonra, aynı kullanıcı tarafından erişilen diğer bilgisayarları kontrol etmeli mi?

Güncelleme 2: Virustotal'a atıfta bulunulan cevapların ardından, bu kötü amaçlı yazılımın virüstotal özeti için bir link .

windows-7  windows  anti-virus  malware  process-explorer 
Dmitri Chubarov
kaynak
2
wauctla.exezararlı değil Windows Updatewauctla.exe tarafından kullanılır .
Ramhound
8
Buna wuauclt.exeinanıyorum.
Lieven Keersmaekers
14
wauctla.exe olan bir zararlı yazılım ve Avast tarafından tespit ne.
Adi
1
Bize bu tehdidi tanımlamadıysanız ne yaptığını soruyorsunuz? Bu, onu nasıl tanımlayacağınızı bilmediğiniz veya bunun bilinen bir tehdit olmadığı anlamına mı geliyor?
Jason
4
@ AndréDaniel Fark gri tonları - dünya siyah beyaz değil. Virüs virüs değil. Downloads.com'dan bir şey alırsanız, kabul et ve Vosteran Araç Çubuğu Awesomifier'ı al !!! Bu "bonus yazılımı" dır ve kabul etmeden artık "yetkisiz" olmasını sağladınız. Bir AV bunu kaldırmalı mı / kaldırmalı mı? Belki, belki değil. en.wikipedia.org/wiki/Malware#Grayware - bu yüzden MB / SpyBot / etc, olduğu kadar yaygındır.
WernerCD

Yanıtlar:

38

Bunun için Proses Monitor kullanmayın. @DavidPostill tarafından önerildiği gibi kullanın VirusTotal, ancak dosyaları manuel olarak göndermeden. SysInternals'tan İşlem Gezgini , VirusTotal işlevinde yerleşiktir. Sadece Seçenekler'e gidin -> VirusTotal.com -> VirusTotal.com'u kontrol edin ve VirusTotal başlıklı bir sütun görünecektir. Birkaç saniye sonra her çalıştırılabilir dosya için VirusTotal puanını alacaksınız.

görüntü tanımını buraya girin

İşlem Gezgini'nden, kötü amaçlı işlemi doğrudan öldürebilir veya bu işlemi hangi Windows Hizmetinin başlattığını bulabilir ve bu hizmeti durdurup devre dışı bırakabilirsiniz. Bu, bunu yapmanın iyi bir yoludur, çünkü işlemi sona erdirirseniz, temel hizmet derhal kötü niyetli işlemi yeniden yaratabilir. Bir işlemin servisini bulmak için, işlemi çift tıklayın ve Servisler sekmesine gidin.

Robert Niestroj
kaynak
3
@ AndréDaniel Process Explorer, yalnızca otomatik olarak taradığı işlemlerin özetlerini gönderir . Analiz için dosyanın tamamını göndermek için, İşlem veya DLL ayrıntıları penceresinden bir taramayı el ile başlatarak yapmanız gerekir ( burada gösterilen Hizmet Koşulları iletişim kutusuna bakın ).
Monica
@Twisty tamam boşver, bunu bilmiyordu.
1
Peki, doğru olduğu noktadaki amacınız, otomatik olarak değil, bir dosyanın tamamını göndermenin mümkün olduğunu görünce geçerli kalır.
Ben Monica
31

Kötü amaçlı yazılımın neden olduğu tehdidi nasıl değerlendirebilirim?

Dosyanızı çevrimiçi analiz için VirusTotal'a gönderebilirsiniz .

  • VirusTotal, 40'tan fazla antivirüs çözümü kullanarak dosyayı kontrol eder.
  • Bu, en azından herhangi bir virüsten koruma yazılımının onu tespit edip edemediğini size söyleyecektir.
  • Olumlu bir tanımlama elde ederseniz, nasıl çalıştığını ve hangi tehdidin ortaya çıktığını öğrenmek için virüsün adını arayabilirsiniz.

VirusTotal Nedir?

Google’ın bir alt kuruluşu olan VirusTotal, virüsleri, solucanları, truva atlarını ve antivirüs motorları ve web sitesi tarayıcıları tarafından tespit edilen diğer zararlı içerik türlerini tanımlamayı sağlayan dosya ve URL’leri analiz eden ücretsiz bir çevrimiçi hizmettir . Aynı zamanda, yanlış pozitifleri, yani bir veya daha fazla tarayıcı tarafından zararlı olarak algılanan zararsız kaynakları tespit etmek için bir araç olarak kullanılabilir.

Kaynak VirusTotal

DavidPostill
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.