На официальном сайте Microsoft 12 апреля появилось сообщение об очередном вредоносном софте, обнаруженном в Windows. Называется это программное «изделие» Tarrask и отличается тем, что для сокрытия своей деятельности использует баг в системе планирования заданий Windows.
Отмечается также, что Tarrask якобы применяется хакерской группой Hafnium, которая в прошлом устраивала всякое разное в сфере телекоммуникаций, в том числе ломала сети интернет-провайдеров и системы передачи данных.
Если вкратце о Tarrask, то этот зловред посредством ошибки в Планировщике заданий Windows умеет создавать скрытые задания и таким образом скрывается от обнаружения.
По данным Microsoft, с помощью таких заданий Tarrask обеспечивает собственную «стабильную работу у среде Windows».
Не пропустите: И ГРЯНУЛ SPECTRE: КАК ПРОВЕРИТЬ БРАУЗЕР НА ПРЕДМЕТ НАЛИЧИЯ ЗАЩИТЫ [архивъ]
Планировщик заданий Windows, напомним, используется системой и приложениями для запланированного запуска разнообразных задач: например, для проверки обновлений или выполнения операций обслуживания. Если то или иное из установленных на компе приложений имеет соответствующие права, то оно тоже может добавлять свои задачи в Планировщик заданий.
Tarrask же, скрывает свои задачи от Планировщика и от инструмента «schtasks /query» (который возвращает список запланированных задач), удаляя значение Security Descriptor задачи в реестре Windows. В результате и Планировщик, и schtasks /query вредоносные задачи просто не выявляют.
как найти Tarrask в Windows
В Microsoft уточняют, что Tarrask не удаляет информацию о задаче полностью и ее следы сохраняются в реестре системы. По мнению специалистов компании, сделали это хакеры либо для того, чтобы программа работала стабильнее, либо же они не знали, что задача «продолжит выполняться» и после удаления компонента SD.
Не пропустите: ВОССТАНОВИТЬ ФАЙЛЫ С ЗАРАЖЕННОГО ВИРУСОМ НОСИТЕЛЯ? [АРХИВЪ]
Искать признаки наличия Tarrask в системе Windows саппорт предлагает путем «ручного» анализа информации о запланированных заданиях в реестре системы.
Алгоритм действий следующий:
- открываем Редактор реестра (Пуск > пишем regedit > в результатах жмем правой кнопкой мыши по regedit.exe > в меню кликаем «Запуск от имени администратора«);
- в окне Редактора реестра (слева) проходим до папки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ — в ней содержится весь актуальный список запланированных задний Windows;
- просматриваем каждое задание по очереди и выявляем те, у которых не прописан параметр SD.
Не пропустите: БЛОКИРУЕМ В WINDOWS 11 ПАРАМЕТРЫ И ПАНЕЛЬ УПРАВЛЕНИЯ ОТ ПОСТОРОННИХ ГЛАЗ
Задание без параметра SD (Security Descriptor) является скрытым и не отображается в списке Планировщика и в Командной строке системе по команде schtasks /query. Такое задание также не удалятся обычным способом, поскольку выполняется в контексте пользователя SYSTEM. И в ответ на попытку удалить задание система выдает ошибку с сообщением об отказе в доступе.
Согласно сообщению Microsoft, Защитник Windows вредоносное ПО Tarrask и срытые задачи уже обнаруживает, последние отмечаются, как Behavior:Win32/ScheduledTaskHide.A.
Более подробно о рекомендуемых Microsoft мерах по предупреждению и обнаружению Tarrask читаем официальном блоге компании — [ССЫЛКА].
[irp]