Как искать Tarrask в Windows — инструкция от Microsoft

На официальном сайте Microsoft 12 апреля появилось сообщение об очередном вредоносном софте, обнаруженном в Windows. Называется это программное «изделие» Tarrask и отличается тем, что для сокрытия своей деятельности использует баг в системе планирования заданий Windows.

Отмечается также, что Tarrask якобы применяется хакерской группой Hafnium, которая в прошлом устраивала всякое разное в сфере телекоммуникаций, в том числе ломала сети интернет-провайдеров и системы передачи данных.

Если вкратце о Tarrask, то этот зловред посредством ошибки в Планировщике заданий Windows умеет создавать скрытые задания и таким образом скрывается от обнаружения.

По данным Microsoft, с помощью таких заданий Tarrask обеспечивает собственную «стабильную работу у среде Windows».

Не пропустите: И ГРЯНУЛ SPECTRE: КАК ПРОВЕРИТЬ БРАУЗЕР НА ПРЕДМЕТ НАЛИЧИЯ ЗАЩИТЫ [архивъ]

Планировщик заданий Windows, напомним, используется системой и приложениями для запланированного запуска разнообразных задач: например, для проверки обновлений или выполнения операций обслуживания. Если то или иное из установленных на компе приложений имеет соответствующие права, то оно тоже может добавлять свои задачи в Планировщик заданий.

Tarrask же, скрывает свои задачи от Планировщика и от инструмента «schtasks /query» (который возвращает список запланированных задач), удаляя значение Security Descriptor задачи в реестре Windows. В результате и Планировщик, и schtasks /query вредоносные задачи просто не выявляют.

как найти Tarrask в Windows

В Microsoft уточняют, что Tarrask не удаляет информацию о задаче полностью и ее следы сохраняются в реестре системы. По мнению специалистов компании, сделали это хакеры либо для того, чтобы программа работала стабильнее, либо же они не знали, что задача «продолжит выполняться» и после удаления компонента SD.

Не пропустите: ВОССТАНОВИТЬ ФАЙЛЫ С ЗАРАЖЕННОГО ВИРУСОМ НОСИТЕЛЯ? [АРХИВЪ]

Искать признаки наличия Tarrask в системе Windows саппорт предлагает путем «ручного» анализа информации о запланированных заданиях в реестре системы.

Алгоритм действий следующий:

  • открываем Редактор реестра (Пуск > пишем regedit > в результатах жмем правой кнопкой мыши по regedit.exe > в меню кликаем «Запуск от имени администратора«);
  • в окне Редактора реестра (слева) проходим до папки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ — в ней содержится весь актуальный список запланированных задний Windows;
  • просматриваем каждое задание по очереди и выявляем те, у которых не прописан параметр SD.

Не пропустите: БЛОКИРУЕМ В WINDOWS 11 ПАРАМЕТРЫ И ПАНЕЛЬ УПРАВЛЕНИЯ ОТ ПОСТОРОННИХ ГЛАЗ

Задание без параметра SD (Security Descriptor) является скрытым и не отображается в списке Планировщика и в Командной строке системе по команде schtasks /query. Такое задание также не удалятся обычным способом, поскольку выполняется в контексте пользователя SYSTEM. И в ответ на попытку удалить задание система выдает ошибку с сообщением об отказе в доступе.

Согласно сообщению Microsoft, Защитник Windows вредоносное ПО Tarrask и срытые задачи уже обнаруживает, последние отмечаются, как Behavior:Win32/ScheduledTaskHide.A.

Более подробно о рекомендуемых Microsoft мерах по предупреждению и обнаружению Tarrask читаем официальном блоге компании — [ССЫЛКА].

[irp]

Что будем искать? Например,VPN

Мы в социальных сетях