アンチウイルスによって検出されなかった新しいマルウェアが見つかりました。脅威を評価する方法は?
最新のウイルス対策スイート(カスペルスキー)を実行しているWindows 7ワークステーションで、不審なプロセスがいくつか見つかりました。プロセスアクティビティを確認するには、SysInternalsの優れたProcessMonitorを使用しました。
そのうちの1つは、wauctla.exeにある実行可能名C:\Windowsでした。 更新:名前はおそらくwuauclt.exe-Windows Updateエージェント制御ユーティリティと混同されるように意図的に選択されています。
このプロセスは、システムサービスとして実行されます。管理コンソールサービススナップインを使用して、このプロセスのスタートアップ設定を「自動」から「無効」に変更できました。ただし、MMCスナップインを使用して実行中のプロセスを停止する方法はありませんでした。
それでも、taskkill /f /PIDコマンドを使用してプロセスを停止できました。 OSを再起動したところ、プロセスリストにプロセスが表示されなくなりました。
Windowsを実行しているコンピューターから一般的なマルウェアを削除するために必要な手順について、スーパーユーザーに excellent thread があります。疑わしいプロセスが停止し、その実行可能ファイルが実行可能な検索パスから離れた安全な場所に移動したとき、新しいマルウェアについて詳しく知りたいと思います。
このファイルからどのような脅威が発生しますか?このウイルスを検出できるウイルス対策ソフトウェアはありますか?このワークステーションが感染した後、同じユーザーがアクセスした他のコンピューターを確認する必要がありますか?
更新2:virustotalに関連する回答に続いて、ここに a link がこのマルウェアのvirustotalの概要です。
そのためにプロセスモニターを使用しないでください。 @DavidPostillが推奨するVirusTotalのように使用しますが、手動でファイルを送信しません。 Process Explorer SysInternalsのVirusTotal機能が組み込まれています。 オプション-> VirusTotal.com-> VirusTotal.comに移動すると、VirusTotalヘッダーの列が表示されます。数秒後、各実行ファイルのVirusTotal評価が表示されます。
プロセスエクスプローラーから、悪意のあるプロセスを直接強制終了するか、このプロセスを開始したWindowsサービスを確認して、このサービスを停止して無効にすることができます。これは良い方法です。もしプロセスを強制終了すると、基盤となるサービスが悪意のあるプロセスをすぐに再作成する可能性があるためです。プロセスのサービスを見つけるには、プロセスをダブルクリックし、[サービス]タブに移動します。
マルウェアによって引き起こされる脅威を評価するにはどうすればよいですか?
オンライン分析のためにファイルを VirusTotal に送信できます。
- VirusTotalは、40以上のウイルス対策ソリューションを使用してファイルをチェックします。
- これにより、少なくともウイルス対策ソフトウェアがそれを検出できるかどうかがわかります。
- 明確な識別情報が得られた場合は、ウイルスの名前を検索して、ウイルスがどのように機能し、どのような脅威をもたらすかについて詳しく調べることができます。
VirusTotalとは
VirusTotalはGoogleの子会社で、ファイルとURLを分析する無料のオンラインサービスであり、ウイルス、ワーム、トロイの木馬、およびその他の種類の悪意のあるコンテンツの識別を可能にしますウイルス対策エンジンとWebサイトスキャナーによって検出されます。同時に、誤検知、つまり1つ以上のスキャナーによって悪意のあるものとして検出された無害のリソースを検出する手段として使用される場合があります。
ソース VirusTotal