En una estación de trabajo con Windows 7 que ejecuta un paquete antivirus actualizado (Kaspersky) encontré varios procesos sospechosos. Para ver la actividad del proceso, utilicé el excelente ProcessMonitor de SysInternals.
Uno de ellos tenía un nombre ejecutable wauctla.exe
ubicado en C:\Windows
. Actualización: el nombre probablemente se elige deliberadamente para confundirlo con wuauclt.exe
la utilidad de control de Windows Update Agent.
Este proceso se ejecuta como un servicio del sistema. Utilizando el complemento de servicios de la Consola de administración pude cambiar la configuración de inicio para este proceso de "Automático" a "Desactivado". Sin embargo, no había forma de que pudiera detener el proceso de ejecución a través del complemento MMC.
Todavía logré detener el proceso con el taskkill /f /PID
comando. Reinicié el sistema operativo y el proceso ya no se ve en la lista de procesos.
Hay un excelente hilo en el superusuario sobre los procedimientos necesarios para eliminar el malware genérico de las computadoras que ejecutan Windows. Cuando los procesos sospechosos se hayan detenido y sus archivos ejecutables se hayan movido a una ubicación segura lejos de la ruta de búsqueda ejecutable, quiero obtener más información sobre el nuevo malware.
¿Qué tipo de amenaza proviene de este archivo? ¿Existe algún software antivirus que pueda detectar este virus? ¿Cómo se propaga? ¿Debo verificar otras computadoras a las que accedió el mismo usuario después de que esta estación de trabajo se infectó?
Actualización 2: Siguiendo las respuestas que se refieren a virustotal, aquí hay un enlace al resumen virustotal de esta pieza de malware.
fuente
wauctla.exe
no es maliciosowauctla.exe
es usado por Windows Update .wuauclt.exe
que creo.wauctla.exe
es un malware y lo detecta Avast.Respuestas:
No use Process Monitor para eso. Use como @DavidPostill sugirió VirusTotal pero sin enviar archivos manualmente. Process Explorer de SysInternals ha incorporado la funcionalidad VirusTotal. Solo ve a Opciones -> VirusTotal.com -> Verificar VirusTotal.com y aparecerá una columna con el encabezado VirusTotal. Después de unos segundos, obtendrá la calificación VirusTotal para cada ejecutable.
Desde el Explorador de procesos puede eliminar directamente el proceso malicioso o averiguar en qué Servicio de Windows inició este proceso y detener y deshabilitar este servicio. Esta es una buena manera de hacerlo, porque si elimina el proceso, el servicio subyacente podría recrear inmediatamente el proceso malicioso. Para averiguar el servicio para un proceso, haga doble clic en el proceso y vaya a la pestaña Servicios.
fuente
¿Cómo evaluar la amenaza causada por el malware?
Puede enviar su archivo a VirusTotal para su análisis en línea.
¿Qué es VirusTotal?
Virus de origen Total
fuente