Encontrado novo malware não detectado pelo antivírus. Como avaliar a ameaça?

Navegue suas respostas
26

Em uma estação de trabalho do Windows 7 que executa uma suíte de antivírus atualizada (Kaspersky), encontrei vários processos suspeitos. Para observar a atividade do processo, usei o excelente ProcessMonitor da SysInternals.

Um deles tinha um nome de executável wauctla.exe localizado em C:\Windows . Atualização: o nome provavelmente é escolhido deliberadamente para ser confundido com wuauclt.exe - o utilitário Windows Update Agent Control.

Este processo é executado como um Serviço do Sistema. Usando o snap-in de serviços do Console de gerenciamento, consegui alterar as configurações de inicialização desse processo de "Automático" para "Desativado". No entanto, não havia como interromper o processo de execução por meio do snap-in do MMC.

Eu ainda consegui parar o processo com o comando taskkill /f /PID . Eu reiniciei o sistema operacional e o processo não é mais visto na lista de processos.

Existe um excelente tópico no superusuário sobre os procedimentos necessários para remover malware genérico de computadores que executam o Windows. Quando os processos suspeitos forem interrompidos e seus arquivos executáveis forem movidos para um local seguro, longe do caminho de pesquisa executável, quero saber mais sobre o novo malware.

Que tipo de ameaça vem desse arquivo? Existe algum software antivírus que detecte esse vírus? Como se espalha, devo verificar outros computadores que foram acessados pelo mesmo usuário depois que esta estação de trabalho foi infectada?

Atualização 2: Após as respostas referentes a virustotal, aqui está um link para o resumo virustotal desta peça de malware.

    
por Dmitri Chubarov 09.03.2015 / 09:48

2 respostas

38

Não use o Process Monitor para isso. Use como @DavidPostill sugeriu VirusTotal, mas sem enviar arquivos manualmente. O Process Explorer da SysInternals incorporou a funcionalidade VirusTotal. Basta ir para Opções - > VirusTotal.com - > Verifique VirusTotal.com e uma coluna com o cabeçalho VirusTotal aparecerá. Após alguns segundos, você receberá a classificação do VirusTotal para cada executável.

No Process Explorer, você pode eliminar diretamente o processo malicioso ou descobrir qual Serviço do Windows iniciou esse processo e parar e desabilitar esse serviço. Esta é uma boa maneira de fazer, porque se você matar o processo, o serviço subjacente pode recriar imediatamente o processo malicioso. Para descobrir o serviço de um processo, clique duas vezes no processo e vá para a guia Serviços.

    
por 09.03.2015 / 15:17
31

Como faço para avaliar a ameaça causada pelo malware?

Você pode enviar seu arquivo para VirusTotal para análise on-line.

  • O VirusTotal verifica o arquivo usando mais de 40 soluções antivírus.
  • Isso, pelo menos, informa se algum software antivírus é capaz de detectá-lo.
  • Se você obtiver uma identificação positiva, poderá pesquisar o nome do vírus para saber mais sobre como ele funciona e qual ameaça ele representa.

O que é o VirusTotal

VirusTotal, a subsidiary of Google, is a free online service that analyzes files and URLs enabling the identification of viruses, worms, trojans and other kinds of malicious content detected by antivirus engines and website scanners. At the same time, it may be used as a means to detect false positives, i.e. innocuous resources detected as malicious by one or more scanners.

Fonte VirusTotal

    
por 09.03.2015 / 09:56

Tags

Como provar que um email foi enviado? Por que estou vendo anúncios em sites, incluindo a Wikipédia?