Encontrado nuevo malware no detectado por antivirus. ¿Cómo evaluar la amenaza?

26

En una estación de trabajo con Windows 7 que ejecuta un paquete antivirus actualizado (Kaspersky) encontré varios procesos sospechosos. Para ver la actividad del proceso, utilicé el excelente ProcessMonitor de SysInternals.

Uno de ellos tenía un nombre ejecutable wauctla.exeubicado en C:\Windows. Actualización: el nombre probablemente se elige deliberadamente para confundirlo con wuauclt.exela utilidad de control de Windows Update Agent.

Este proceso se ejecuta como un servicio del sistema. Utilizando el complemento de servicios de la Consola de administración pude cambiar la configuración de inicio para este proceso de "Automático" a "Desactivado". Sin embargo, no había forma de que pudiera detener el proceso de ejecución a través del complemento MMC.

Todavía logré detener el proceso con el taskkill /f /PIDcomando. Reinicié el sistema operativo y el proceso ya no se ve en la lista de procesos.

Hay un excelente hilo en el superusuario sobre los procedimientos necesarios para eliminar el malware genérico de las computadoras que ejecutan Windows. Cuando los procesos sospechosos se hayan detenido y sus archivos ejecutables se hayan movido a una ubicación segura lejos de la ruta de búsqueda ejecutable, quiero obtener más información sobre el nuevo malware.

¿Qué tipo de amenaza proviene de este archivo? ¿Existe algún software antivirus que pueda detectar este virus? ¿Cómo se propaga? ¿Debo verificar otras computadoras a las que accedió el mismo usuario después de que esta estación de trabajo se infectó?

Actualización 2: Siguiendo las respuestas que se refieren a virustotal, aquí hay un enlace al resumen virustotal de esta pieza de malware.

windows-7 windows anti-virus malware process-explorer Dmitri Chubarov
fuente
2
wauctla.exeno es malicioso wauctla.exees usado por Windows Update .
Ramhound
8
Eso es lo wuauclt.exeque creo.
Lieven Keersmaekers
14
wauctla.exe es un malware y lo detecta Avast.
Adi
1
¿Nos preguntas qué hace esta amenaza cuando ni siquiera la has identificado? ¿Esto significa que no sabes cómo identificarlo o que no es una amenaza conocida?
Jason
44
@ AndréDaniel La diferencia son los tonos de gris: el mundo no es blanco y negro. Virus no es un virus. Si obtienes algo de Downloads.com, haz clic en aceptar y obtén Vosteran Toolbar Awesomifier !!! ... tienes mal / ad / spy-ware, no un virus / troyano. Es un "software de bonificación" y usted hizo clic en aceptar para que ya no sea "no autorizado". ¿Debería un AV desinstalar / eliminar eso? Tal vez tal vez no. en.wikipedia.org/wiki/Malware#Grayware : es por eso que MB / SpyBot / etc son tan frecuentes como lo son.
WernerCD

Respuestas:

38

No use Process Monitor para eso. Use como @DavidPostill sugirió VirusTotal pero sin enviar archivos manualmente. Process Explorer de SysInternals ha incorporado la funcionalidad VirusTotal. Solo ve a Opciones -> VirusTotal.com -> Verificar VirusTotal.com y aparecerá una columna con el encabezado VirusTotal. Después de unos segundos, obtendrá la calificación VirusTotal para cada ejecutable.

ingrese la descripción de la imagen aquí

Desde el Explorador de procesos puede eliminar directamente el proceso malicioso o averiguar en qué Servicio de Windows inició este proceso y detener y deshabilitar este servicio. Esta es una buena manera de hacerlo, porque si elimina el proceso, el servicio subyacente podría recrear inmediatamente el proceso malicioso. Para averiguar el servicio para un proceso, haga doble clic en el proceso y vaya a la pestaña Servicios.

Robert Niestroj
fuente
3
@ AndréDaniel Process Explorer solo envía hashes de procesos que escanea automáticamente. Para enviar un archivo completo para su análisis, debe hacerlo iniciando manualmente un escaneo a través de la ventana Detalles de proceso o DLL (consulte el cuadro de diálogo Términos del servicio como se muestra aquí ).
Digo Reinstate Monica
@Twisty está bien, no importa, no lo sabía.
1
Bueno, su punto en los aspectos en los que es correcto sigue siendo válido, ya que es posible enviar un archivo completo, pero no automáticamente.
Digo Reinstate Monica
31

¿Cómo evaluar la amenaza causada por el malware?

Puede enviar su archivo a VirusTotal para su análisis en línea.

  • VirusTotal verifica el archivo utilizando más de 40 soluciones antivirus.
  • Esto al menos le dirá si algún software antivirus puede detectarlo.
  • Si obtiene una identificación positiva, puede buscar el nombre del virus para obtener más información sobre cómo funciona y qué amenaza representa.

¿Qué es VirusTotal?

VirusTotal, una subsidiaria de Google, es un servicio gratuito en línea que analiza archivos y URL que permiten la identificación de virus, gusanos, troyanos y otros tipos de contenido malicioso detectados por los motores antivirus y los escáneres de sitios web. Al mismo tiempo, puede usarse como un medio para detectar falsos positivos, es decir, recursos inocuos detectados como maliciosos por uno o más escáneres.

Virus de origen Total

DavidPostill
fuente