En una estación de trabajo con Windows 7 que ejecuta un paquete antivirus actualizado (Kaspersky) encontré varios procesos sospechosos. Para ver la actividad del proceso, utilicé el excelente ProcessMonitor de SysInternals.
Uno de ellos tenía un nombre ejecutable wauctla.exe
ubicado en C:\Windows
. Actualización: el nombre probablemente se elige deliberadamente para confundirlo con wuauclt.exe
la utilidad de control de Windows Update Agent.
Este proceso se ejecuta como un servicio del sistema. Utilizando el complemento de servicios de la Consola de administración pude cambiar la configuración de inicio para este proceso de "Automático" a "Desactivado". Sin embargo, no había forma de que pudiera detener el proceso de ejecución a través del complemento MMC.
Todavía logré detener el proceso con el taskkill /f /PID
comando. Reinicié el sistema operativo y el proceso ya no se ve en la lista de procesos.
Hay un excelente hilo en el superusuario sobre los procedimientos necesarios para eliminar el malware genérico de las computadoras que ejecutan Windows. Cuando los procesos sospechosos se hayan detenido y sus archivos ejecutables se hayan movido a una ubicación segura lejos de la ruta de búsqueda ejecutable, quiero obtener más información sobre el nuevo malware.
¿Qué tipo de amenaza proviene de este archivo? ¿Existe algún software antivirus que pueda detectar este virus? ¿Cómo se propaga? ¿Debo verificar otras computadoras a las que accedió el mismo usuario después de que esta estación de trabajo se infectó?
Actualización 2: Siguiendo las respuestas que se refieren a virustotal, aquí hay un enlace al resumen virustotal de esta pieza de malware.
wuauclt.exe
que creo.
wauctla.exe
es un malware y lo detecta Avast.
wauctla.exe
no es maliciosowauctla.exe
es usado por Windows Update .