최신 바이러스 백신 제품군 (Kaspersky)을 실행하는 Windows 7 워크 스테이션에서 몇 가지 의심스러운 프로세스를 발견했습니다. 프로세스 활동을보기 위해 SysInternals의 우수한 ProcessMonitor를 사용했습니다.
그중 하나는에 실행 파일 이름이 wauctla.exe있습니다 C:\Windows. 업데이트 : 이름이 wuauclt.exeWindows Update Agent Control 유틸리티 와 혼동되도록 의도적으로 선택되었을 수 있습니다 .
이 프로세스는 시스템 서비스로 실행됩니다. 관리 콘솔 서비스 스냅인을 사용하여이 프로세스의 시작 설정을 “자동”에서 “사용 안 함”으로 변경할 수있었습니다. 그러나 MMC 스냅인을 통해 실행중인 프로세스를 중지 할 수있는 방법이 없었습니다.
여전히 taskkill /f /PID명령으로 프로세스를 중지했습니다 . OS를 다시 시작했는데 프로세스 목록에 프로세스가 더 이상 표시되지 않습니다.
수퍼 유저에는 Windows를 실행하는 컴퓨터에서 일반 맬웨어를 제거하는 데 필요한 절차에 대한 훌륭한 스레드 가 있습니다 . 의심스러운 프로세스가 중지되고 실행 파일이 실행 가능한 검색 경로에서 떨어진 안전한 위치로 이동하면 새 맬웨어에 대해 자세히 알고 싶습니다.
이 파일에서 어떤 종류의 위협이 발생합니까? 이 바이러스를 탐지 할 수있는 바이러스 백신 소프트웨어가 있습니까? 이 워크 스테이션이 감염된 후 동일한 사용자가 액세스 한 다른 컴퓨터를 어떻게 확인해야합니까?
업데이트 2 : virustotal에 대한 답변에 따라이 멀웨어에 대한 virustotal 요약 링크 가 있습니다.
답변
이를 위해 프로세스 모니터를 사용하지 마십시오. @DavidPostill과 같은 방법으로 VirusTotal을 제안했지만 수동으로 파일을 보내지 않습니다. SysInternals의 프로세스 탐색기 에는 VirusTotal 기능이 내장되어 있습니다. 옵션-> VirusTotal.com-> VirusTotal.com 확인으로 이동하면 VirusTotal 헤더가있는 열이 나타납니다. 몇 초 후에 각 실행 파일에 대한 VirusTotal 등급이 표시됩니다.
프로세스 탐색기에서 악의적 인 프로세스를 직접 종료하거나이 프로세스를 시작한 Windows 서비스를 찾아이 서비스를 중지 및 비활성화 할 수 있습니다. 기본 서비스가 즉시 악성 프로세스를 다시 생성 할 수있는 프로세스를 종료하면이 방법을 사용하는 것이 좋습니다. 프로세스 서비스를 찾으려면 프로세스를 두 번 클릭하고 서비스 탭으로 이동하십시오.
답변
맬웨어로 인한 위협을 어떻게 평가합니까?
온라인 분석을 위해 파일을 VirusTotal 에 제출할 수 있습니다 .
- VirusTotal은 40 개가 넘는 바이러스 백신 솔루션을 사용하여 파일을 확인합니다.
- 바이러스 백신 소프트웨어가이를 탐지 할 수 있는지 여부는 최소한 알려줍니다.
- 긍정적 인 식별 정보를 얻으면 바이러스의 이름을 검색하여 바이러스의 작동 방식과 바이러스의 위협에 대해 자세히 알아볼 수 있습니다.
VirusTotal은 무엇입니까
Google의 자회사 인 VirusTotal은 파일과 URL을 분석 하여 바이러스, 웜, 트로이 목마 및 안티 바이러스 엔진 및 웹 사이트 스캐너에서 탐지 한 기타 종류의 악성 콘텐츠를 식별 할 수 있는 무료 온라인 서비스입니다 . 동시에, 그것은 오탐 (false positive), 즉 하나 이상의 스캐너에 의해 악성으로 탐지 된 무해한 리소스를 탐지하는 수단으로 사용될 수 있습니다.
소스 바이러스