Nouveau malware détecté non détecté par un antivirus. Comment évaluer la menace?

26

Sur un poste de travail Windows 7 exécutant une suite antivirus à jour (Kaspersky), j'ai trouvé plusieurs processus suspects. Pour regarder l'activité du processus, j'ai utilisé l'excellent ProcessMonitor de SysInternals.

L'un d'eux avait un nom exécutable wauctla.exesitué dans C:\Windows. Mise à jour: le nom est probablement choisi délibérément pour être confondu avec wuauclt.exe- l'utilitaire Windows Update Agent Control.

Ce processus s'exécute en tant que service système. À l'aide du composant logiciel enfichable des services de la console de gestion, j'ai pu modifier les paramètres de démarrage de ce processus de «Automatique» à «Désactivé». Cependant, je ne pouvais pas arrêter le processus en cours via le composant logiciel enfichable MMC.

J'ai quand même réussi à arrêter le processus avec la taskkill /f /PIDcommande. J'ai redémarré le système d'exploitation et le processus n'est plus visible dans la liste des processus.

Il existe un excellent fil conducteur sur le superutilisateur sur les procédures nécessaires pour supprimer les logiciels malveillants génériques des ordinateurs exécutant Windows. Lorsque les processus suspects ont été arrêtés et que leurs fichiers exécutables ont été déplacés vers un emplacement sûr à l'écart du chemin de recherche exécutable, je souhaite en savoir plus sur le nouveau malware.

Quelle sorte de menace provient de ce fichier? Existe-t-il un logiciel antivirus pour détecter ce virus? Comment se propage-t-il, dois-je vérifier les autres ordinateurs auxquels le même utilisateur a accédé après l'infection de ce poste de travail?

Mise à jour 2: Suite aux réponses concernant virustotal, voici un lien vers le résumé virustotal de ce logiciel malveillant.

windows-7 windows anti-virus malware process-explorer Dmitri Chubarov
la source
2
wauctla.exen'est pas malveillant. wauctla.exeest utilisé par Windows Update .
Ramhound
8
Voilà wuauclt.exeje crois.
Lieven Keersmaekers
14
wauctla.exe est un malware, et il est détecté par Avast.
Adi
1
Vous nous demandez ce que fait cette menace alors que vous ne l'avez même pas identifiée? Est-ce à dire que vous ne savez pas comment l'identifier ou que ce n'est pas une menace connue?
Jason
4
@ AndréDaniel La différence réside dans les nuances de gris - le monde n'est pas en noir et blanc. Virus pas un virus. Si vous obtenez quelque chose de Downloads.com, cliquez sur Accepter et obtenez Awesomifier Vosteran Toolbar !!! ... vous avez obtenu mal / ad / spy-ware - pas un virus / cheval de Troie. Il s'agit d'un "logiciel bonus" et vous avez cliqué sur accepter de ne plus le rendre "non autorisé". Un AV doit-il désinstaller / supprimer cela? Peut-être peut-être pas. en.wikipedia.org/wiki/Malware#Grayware - c'est pourquoi MB / SpyBot / etc sont aussi répandus qu'eux.
WernerCD

Réponses:

38

N'utilisez pas Process Monitor pour cela. Utilisez comme @DavidPostill suggéré VirusTotal mais sans envoyer manuellement des fichiers. Process Explorer de SysInternals a intégré la fonctionnalité VirusTotal. Allez simplement dans Options -> VirusTotal.com -> Vérifiez VirusTotal.com et une colonne avec l'en-tête VirusTotal apparaîtra. Après quelques secondes, vous obtiendrez la note VirusTotal pour chaque exécutable.

entrez la description de l'image ici

Depuis Process Explorer, vous pouvez directement tuer le processus malveillant ou découvrir à quel service Windows a démarré ce processus et arrêter et désactiver ce service. C'est une bonne façon de faire, car si vous tuez le processus, le service sous-jacent pourrait recréer immédiatement le processus malveillant. Pour connaître le service d'un processus, double-cliquez sur le processus et accédez à l'onglet Services.

Robert Niestroj
la source
3
@ AndréDaniel Process Explorer envoie uniquement des hachages de processus qu'il analyse automatiquement. Pour envoyer un fichier entier pour analyse, vous devez le faire en lançant manuellement une analyse via la fenêtre Détails du processus ou de la DLL (voir la boîte de dialogue Conditions d'utilisation comme illustré ici ).
Je dis Reinstate Monica
@Twisty ok Nevermind, je ne le savais pas.
1
Eh bien, votre point sur les aspects sur lesquels il est correct reste valable, car il est possible de soumettre un fichier entier, mais pas automatiquement.
Je dis Reinstate Monica
31

Comment évaluer la menace causée par un malware?

Vous pouvez soumettre votre fichier à VirusTotal pour une analyse en ligne.

  • VirusTotal vérifie le fichier à l'aide de plus de 40 solutions antivirus.
  • Cela vous indiquera au moins si un logiciel antivirus est capable de le détecter.
  • Si vous obtenez une identification positive, vous pouvez alors rechercher le nom du virus pour en savoir plus sur son fonctionnement et la menace qu'il représente.

Qu'est-ce que VirusTotal

VirusTotal, une filiale de Google, est un service en ligne gratuit qui analyse les fichiers et les URL permettant d'identifier les virus, vers, chevaux de Troie et autres types de contenu malveillant détectés par les moteurs antivirus et les scanners de sites Web. En même temps, il peut être utilisé comme un moyen de détecter les faux positifs, c'est-à-dire des ressources inoffensives détectées comme malveillantes par un ou plusieurs scanners.

VirusTotal source

DavidPostill
la source