Tìm thấy phần mềm độc hại mới không được phát hiện bởi phần mềm chống vi-rút. Làm thế nào để đánh giá mối đe dọa?

Trên máy trạm Windows 7 chạy bộ phần mềm chống vi-rút cập nhật (Kaspersky), tôi đã tìm thấy một số quy trình đáng ngờ. Để xem xét hoạt động của quy trình, tôi đã sử dụng ProcessMonitor xuất sắc từ SysIternals.

Một trong số họ có một tên thực thi được wauctla.exeđặt tại C:\Windows. Cập nhật: tên có thể được chọn có chủ ý bị nhầm lẫn với wuauclt.exe- tiện ích Windows Update Agent Control.

Quá trình này chạy như một dịch vụ hệ thống. Sử dụng snap-in dịch vụ Bảng điều khiển quản lý Tôi có thể thay đổi cài đặt khởi động cho quy trình này từ "Tự động" thành "Vô hiệu hóa". Tuy nhiên, không có cách nào tôi có thể dừng quá trình chạy thông qua snap-in MMC.

Tôi vẫn cố gắng dừng quá trình với taskkill /f /PIDlệnh. Tôi đã khởi động lại hệ điều hành và quá trình không còn thấy trong danh sách quy trình.

Có một chủ đề tuyệt vời về siêu người dùng về các thủ tục cần thiết để loại bỏ phần mềm độc hại chung khỏi máy tính chạy Windows. Khi các quy trình đáng ngờ đã bị dừng và các tệp thực thi của chúng được chuyển đến một vị trí an toàn cách xa đường dẫn tìm kiếm thực thi, tôi muốn tìm hiểu thêm về phần mềm độc hại mới.

Loại mối đe dọa nào đến từ tập tin này? Có phần mềm diệt virus nào xung quanh có thể phát hiện virus này không? Nó lây lan như thế nào, tôi có nên kiểm tra các máy tính khác được truy cập bởi cùng một người dùng sau khi máy trạm này bị nhiễm không?

Cập nhật 2: Sau các câu trả lời liên quan đến virustotal, đây là liên kết đến bản tóm tắt virustotal của phần mềm độc hại này.

Không sử dụng Process Monitor cho điều đó. Sử dụng như @DavidPostill đã đề xuất VirusTotal nhưng không gửi tệp theo cách thủ công. Process Explorer từ SysIternals đã được tích hợp chức năng VirusTotal. Chỉ cần truy cập Tùy chọn -> VirusTotal.com -> Kiểm tra VirusTotal.com và một cột có tiêu đề VirusTotal sẽ xuất hiện. Sau vài giây, bạn sẽ nhận được xếp hạng VirusTotal cho mỗi lần thực thi.

Từ Process Explorer, bạn có thể trực tiếp tiêu diệt quá trình độc hại hoặc tìm ra Windows Service nào đã bắt đầu quá trình này và dừng và vô hiệu hóa dịch vụ này. Đây là một cách tốt để làm, beacuse nếu bạn giết quá trình, dịch vụ cơ bản có thể ngay lập tức tạo lại quy trình độc hại. Để tìm hiểu dịch vụ cho một quy trình, nhấp đúp vào quy trình và chuyển đến tab Dịch vụ.

Làm cách nào để đánh giá mối đe dọa do phần mềm độc hại gây ra?

Bạn có thể gửi tệp của mình đến VirusTotal để phân tích trực tuyến.

• VirusTotal kiểm tra tệp bằng hơn 40 giải pháp chống vi-rút.
• Điều này ít nhất sẽ cho bạn biết nếu có bất kỳ phần mềm chống vi-rút nào có thể phát hiện ra nó.
• Nếu bạn nhận được một nhận dạng tích cực, bạn có thể tìm kiếm tên của vi-rút để tìm hiểu thêm về cách thức hoạt động của nó và mối đe dọa mà nó gây ra.

VirusTotal là gì

VirusTotal, một công ty con của Google, là một dịch vụ trực tuyến miễn phí, phân tích các tệp và URL cho phép xác định virus, sâu, trojan và các loại nội dung độc hại khác được phát hiện bởi các công cụ chống vi-rút và máy quét trang web. Đồng thời, nó có thể được sử dụng như một phương tiện để phát hiện dương tính giả, tức là tài nguyên vô hại được phát hiện là độc hại bởi một hoặc nhiều máy quét.

Nguồn VirusTotal