ウイルス対策ソフトウェアによって検出されない新しいマルウェアが見つかりました。脅威を評価する方法は？

最新のウイルス対策スイート（Kaspersky）を実行しているWindows 7ワークステーションで、疑わしいプロセスがいくつか見つかりました。プロセスアクティビティを確認するには、SysInternalsの優れたProcessMonitorを使用しました。

それらの1つには、にある実行可能ファイル名がwauctla.exeありましたC:\Windows。更新：名前はおそらくwuauclt.exe、Windows Update Agent Controlユーティリティと混同されるように意図的に選択されています。

このプロセスはシステムサービスとして実行されます。管理コンソールサービススナップインを使用して、このプロセスのスタートアップ設定を「自動」から「無効」に変更できました。ただし、MMCスナップインを使用して実行中のプロセスを停止する方法はありませんでした。

私はまだtaskkill /f /PIDコマンドでプロセスを停止することができました。OSを再起動しましたが、プロセスがプロセスリストに表示されなくなりました。

スーパーユーザーには、Windowsを実行しているコンピューターから一般的なマルウェアを削除するために必要な手順に関する優れたスレッドがあります。疑わしいプロセスが停止し、その実行可能ファイルが実行可能検索パスから離れた安全な場所に移動したとき、新しいマルウェアについて詳しく知りたいと思います。

このファイルにはどのような脅威がありますか？このウイルスを検出できるウイルス対策ソフトウェアはありますか？このワークステーションが感染した後、同じユーザーがアクセスした他のコンピューターをチェックする必要がありますか？

更新2： virustotalを参照する回答に続いて、このマルウェアのvirustotal概要へのリンクがあります。

そのためにProcess Monitorを使用しないでください。VirusTotalが推奨する@DavidPostillのように使用しますが、ファイルを手動で送信しません。SysInternalsのProcess ExplorerにはVirusTotal機能が組み込まれています。ちょうどに行くオプション- > VirusTotal.com - > VirusTotal.comチェック表示され、ヘッダVirusTotalでカラムを。数秒後、各実行可能ファイルのVirusTotal評価を取得します。

Process Explorerから、悪意のあるプロセスを直接強制終了するか、このプロセスを開始したWindowsサービスを見つけて、このサービスを停止して無効にすることができます。プロセスを強制終了すると、基になるサービスが悪意のあるプロセスをすぐに再作成する可能性があるため、これは良い方法です。プロセスのサービスを見つけるには、プロセスをダブルクリックして[サービス]タブに移動します。

マルウェアによって引き起こされる脅威を評価するにはどうすればよいですか？

オンライン分析のためにファイルをVirusTotalに送信できます。

• VirusTotalは、40以上のウイルス対策ソリューションを使用してファイルをチェックします。
• これにより、少なくともウイルス対策ソフトウェアがそれを検出できるかどうかがわかります。
• 確実な識別が得られた場合は、ウイルスの名前を検索して、その仕組みと脅威の詳細を確認できます。

VirusTotalとは

Googleの子会社であるVirusTotalは、ウイルスとワーム、トロイの木馬、およびウイルス対策エンジンとWebサイトスキャナーによって検出されたその他の種類の悪意のあるコンテンツの識別を可能にするファイルとURLを分析する無料のオンラインサービスです。同時に、偽陽性、つまり1つ以上のスキャナーによって悪意のあるリソースとして検出された無害なリソースを検出する手段として使用される場合があります。

ソースVirusTotal