ウイルス対策ソフトウェアによって検出されない新しいマルウェアが見つかりました。脅威を評価する方法は?


26

最新のウイルス対策スイート(Kaspersky)を実行しているWindows 7ワークステーションで、疑わしいプロセスがいくつか見つかりました。プロセスアクティビティを確認するには、SysInternalsの優れたProcessMonitorを使用しました。

それらの1つには、にある実行可能ファイル名がwauctla.exeありましたC:\Windows更新:名前はおそらくwuauclt.exe、Windows Update Agent Controlユーティリティと混同されるように意図的に選択されています。

このプロセスはシステムサービスとして実行されます。管理コンソールサービススナップインを使用して、このプロセスのスタートアップ設定を「自動」から「無効」に変更できました。ただし、MMCスナップインを使用して実行中のプロセスを停止する方法はありませんでした。

私はまだtaskkill /f /PIDコマンドでプロセスを停止することができました。OSを再起動しましたが、プロセスがプロセスリストに表示されなくなりました。

スーパーユーザーには、Windowsを実行しているコンピューターから一般的なマルウェアを削除するために必要な手順に関する優れたスレッドがあります。疑わしいプロセスが停止し、その実行可能ファイルが実行可能検索パスから離れた安全な場所に移動したとき、新しいマルウェアについて詳しく知りたいと思います。

このファイルにはどのような脅威がありますか?このウイルスを検出できるウイルス対策ソフトウェアはありますか?このワークステーションが感染した後、同じユーザーがアクセスした他のコンピューターをチェックする必要がありますか?

更新2: virustotalを参照する回答に続いて、このマルウェアのvirustotal概要へのリンクがあります。


2
wauctla.exe悪意はありません。 Windows Updateでwauctla.exe使用されます
ラムハウンド

8
それはwuauclt.exe私が信じています。
リーベンKeersmaekers

14
wauctla.exe マルウェアであり、アバストによって検出されます。
アディ

1
あなたはそれを特定さえしていないのに、この脅威が何をするのかと私たちに尋ねていますか?これは、それを識別する方法がわからない、または既知の脅威ではないという意味ですか?
ジェイソン

4
@AndréDaniel違いはグレーの色合いです-世界は白黒ではありません。ウイルスではありません。Downloads.comから何かを入手した場合は、同意してVosteran Toolbar Awesomifierを入手してください!!! ...ウイルス/トロイの木馬ではなく、mal / ad / spy-wareを入手しました。これは「ボーナスソフトウェア」であり、「承認」をクリックして「不正」ではなくなりました。AVはそれをアンインストール/削除する必要がありますか?多分そうでないかもしれません。 en.wikipedia.org/wiki/Malware#Grayware-MB / SpyBot / etcが普及している理由です。
WernerCD

回答:


38

そのためにProcess Monitorを使用しないでください。VirusTotalが推奨する@DavidPostillのように使用しますが、ファイルを手動で送信しません。SysInternalsのProcess ExplorerにはVirusTotal機能が組み込まれています。ちょうどに行くオプション- > VirusTotal.com - > VirusTotal.comチェック表示され、ヘッダVirusTotalでカラムを。数秒後、各実行可能ファイルのVirusTotal評価を取得します。

ここに画像の説明を入力してください

Process Explorerから、悪意のあるプロセスを直接強制終了するか、このプロセスを開始したWindowsサービスを見つけて、このサービスを停止して無効にすることができます。プロセスを強制終了すると、基になるサービスが悪意のあるプロセスをすぐに再作成する可能性があるため、これは良い方法です。プロセスのサービスを見つけるには、プロセスをダブルクリックして[サービス]タブに移動します。


3
@AndréDanielProcess Explorer は、自動的にスキャンするプロセスのハッシュのみを送信します。分析のためにファイル全体を送信するには、[ プロセスまたはDLLの詳細]ウィンドウを使用して手動でスキャンを開始する必要があります(ここに示す[利用規約]ダイアログボックスを参照してください)。
私は

@Twisty大丈夫、それは知らなかった。

1
さて、それが正しい側面のあなたのポイントは、ファイル全体を提出することが可能であり、自動的にではないので、有効なままです。
私は言う:モニカーを復活させる

31

マルウェアによって引き起こされる脅威を評価するにはどうすればよいですか?

オンライン分析のためにファイルをVirusTotalに送信できます。

  • VirusTotalは、40以上のウイルス対策ソリューションを使用してファイルをチェックします。
  • これにより、少なくともウイルス対策ソフトウェアがそれを検出できるかどうかがわかります。
  • 確実な識別が得られた場合は、ウイルスの名前を検索して、その仕組みと脅威の詳細を確認できます。

VirusTotalとは

Googleの子会社であるVirusTotalは、ウイルスとワーム、トロイの木馬、およびウイルス対策エンジンとWebサイトスキャナーによって検出されたその他の種類の悪意のあるコンテンツの識別を可能にするファイルとURLを分析する無料のオンラインサービスです。同時に、偽陽性、つまり1つ以上のスキャナーによって悪意のあるリソースとして検出された無害なリソースを検出する手段として使用される場合があります。

ソースVirusTotal

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.