Как Malware Tarrask скрывает себя в системе и как его обнаружить

Малварь — общее название для всех видов кибер-угроз, таких как: вирусы, трояны, шпионские программы, кейлоггеры, adware и др. Malware или «Малварь», сокращенно от английского «malicious software» — вредоносное программное обеспечение, имеющее своей целью в той или иной форме нанести ущерб пользователю или компьютеру и его содержимому.

Проникнув на компьютер, вредоносное программное обеспечения старается скрыть свое присутствие в системе, для чего нередко использует различные уязвимости. Так, к примеру, поступает новая мальварь Tarrask, эксплуатирующая баг встроенного Планировщика задач, затрудняющий ее обнаружение путем создания в самом Планировщике скрытых заданий. Созданные мальварью задачи не обнаруживаются ни средствами Просмотрщика.

Ни средствами запущенной с аргументом /query консольной утилиты schtasks, выводящей список запланированных заданий в командной строке.

Достигается скрытие тем, что Tarrask удаляет значение дескриптора безопасности задачи в соответствующем ключе реестра, в результате чего задача становится невидимой средствами Планировщика, командной строки или сторонних инструментов для работы с заданиями. С другой стороны, малварь не удаляет среды своей деятельности полностью, оставляя данные в реестре, благодаря чему ее и можно обнаружить, если не считать возможности ее обнаружения штатным Защитником, уже научившимся идентифицировать эту угрозу.

Следы Tarrask в реестре Windows

Установить факт заражения системы Tarrask можно, просмотрев параметры задач в разделе реестра:

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTree

Последний раздел содержит группу подразделов, каждый из которых представляет собой запланированную задачу, при этом каждый элемент должен включать бинарный параметр SD. Его отсутствие станет означать, что задание скрытое, не отображающееся в Планировщике.

Как вредоносное программное обеспечение Tarrask скрывает себя в системе и как его обнаружить.

Кстати, удалить созданный малварью подраздел без параметра SD средствами редактора реестра не получится – последний вернет сообщение об ошибке прав доступа.

Как бороться с Tarrask

Microsoft регулярно выпускает патчи, закрывающие дыры в безопасности, поэтому по возможности не пренебрегайте процедурой обновления системы.

Если это по какой-то причине невозможно, убедитесь, что вы используете последнюю версию Защитника с последними же вирусными определениями. Помимо анализа уже упомянутого ключа реестра, для обнаружения присутствия Tarrask Microsoft также рекомендует использовать возможности аудита, в частности отслеживание событий с кодом 4698 в журнале «Безопасность».

  

Read More

Добавить комментарий