发现防病毒软件未检测到的新恶意软件。如何评估威胁?
Dmi*_*rov 26 windows windows-7 malware process-explorer anti-virus
在运行最新防病毒套件 (Kaspersky) 的 Windows 7 工作站上,我发现了几个可疑进程。为了查看流程活动,我使用了来自 SysInternals 的出色 ProcessMonitor。
其中之一的可执行文件名称wauctla.exe位于C:\Windows. 更新:该名称可能是故意选择以与wuauclt.exe- Windows 更新代理控制实用程序混淆。
此进程作为系统服务运行。使用管理控制台服务管理单元,我能够将此过程的启动设置从“自动”更改为“已禁用”。但是,我无法通过 MMC 管理单元停止正在运行的进程。
我仍然设法用taskkill /f /PID命令停止了这个过程。我重新启动了操作系统,进程列表中不再显示该进程。
关于从运行 Windows 的计算机中删除通用恶意软件所需的程序,超级用户有一个很好的线程。当可疑进程停止并将其可执行文件移至远离可执行文件搜索路径的安全位置时,我想了解有关新恶意软件的更多信息。
什么样的威胁来自这个文件?有没有可以检测到这种病毒的杀毒软件?它是如何传播的,在这个工作站被感染后,我应该检查同一用户访问过的其他计算机吗?
更新 2:根据关于virustotal 的答案,这里是该恶意软件的virustotal 摘要的链接。
Rob*_*roj 37
不要为此使用进程监视器。像@DavidPostill 建议的 VirusTotal 一样使用,但无需手动发送文件。SysInternals 的Process Explorer内置了 VirusTotal 功能。只需转到选项 -> VirusTotal.com -> 检查 VirusTotal.com,就会出现一个标题为 VirusTotal 的列。几秒钟后,您将获得每个可执行文件的 VirusTotal 评级。
从进程资源管理器中,您可以直接杀死恶意进程或找出启动此进程的 Windows 服务并停止和禁用此服务。这是一个很好的方法,因为如果您终止进程,底层服务可能会立即重新创建恶意进程。要查找进程的服务,请双击该进程并转到“服务”选项卡。
- @AndréDaniel Process Explorer 仅 [发送哈希](http://blogs.technet.com/b/sysinternals/archive/2014/01/29/updates-process-explorer-v16-0-psping-v2-01.aspx)它自动扫描的进程。要发送整个文件进行分析,您必须通过 *Process* 或 *DLL* 详细信息窗口手动启动扫描(请参阅服务条款对话框,如图所示[此处](https://blog.malwarebytes.org) /intelligence/2014/01/process-explorer-now-including-virustotal-support/))。 (3认同)
Dav*_*ill 30
如何评估恶意软件造成的威胁?
您可以将文件提交给VirusTotal进行在线分析。
- VirusTotal 使用 40 多种防病毒解决方案检查文件。
- 这至少会告诉您是否有任何防病毒软件能够检测到它。
- 如果您获得了肯定的识别结果,则可以搜索病毒的名称,以了解有关它的工作原理及其构成的威胁的更多信息。
什么是病毒总数
VirusTotal 是 Google 的子公司,是一项免费的在线服务,可分析文件和 URL,从而识别病毒、蠕虫、特洛伊木马和其他类型的防病毒引擎和网站扫描程序检测到的恶意内容。同时,它可以用作检测误报的手段,即被一个或多个扫描器检测为恶意的无害资源。
源病毒总数
| 归档时间: |
|
| 查看次数: |
4433 次 |
| 最近记录: |