Prítomnosť kódu Tarrask môžete preveriť v systémovom registri.
Hackerská skupina Hafnium je skupina zameriavajúca sa na telekomunikačné služby a poskytovateľov internetového spojenia. To ale neznamená, že sa jej vyhnú bežní používatelia. Práve ich počítače môžu byť zneužité na jej šírenie. Microsoft upozornil na hrozbu z dielne tejto skupiny na svojom webe a poukázal na to, ako ju svojpomocne identifikovať a zistiť, či je vôbec v systéme a týka sa vás.
Zákernosť kódu Tarrask je v tom, že využije plánovač úloh v systéme, ktorý slúži na plánovanie systémových činností. Rovnako ho môžete poznať aj vy a niektoré aplikácie ho využívajú na plánovanie hoci aj používateľsky definovaných činností. Častejší jav je však bežiaci proces, ktorý patrí vlastnej aplikácii a ten sa stará o spúšťanie plánovaných úloh. Napríklad kontrolu aktualizácií alebo čistenie systému, či napríklad defragmentáciu disk atď. Tarrask ale odstráni svoj záznam tým, že odstráni hodnotu zvanú Security Descriptor a tým ho nezbadáte v zozname plánovaných úloh, avšak neukáže sa ani pri spustení príkazu plánovača cez príkazový riadok.
V prípade, že používate antivírusový systém, je takmer isté že výrobcovia budú na to reagovať. Aktualizujú svoje definičné súbory o kontrolu záznamov pre tento typ hrozby. Antivírusové programy od Microsoftu už majú túto ochranu implementovanú
Ako nájsť hrozbu ručne?
- Ako prvé je treba zistiť, či ju v systéme máte. To urobíte v registroch operačného systému (Win + R, regedit.exe).
- Nájdite kľúč – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\
- V zobrazení by ste mali ku každej úlohe vidieť aj jej identifikátor. V skratke, oba zoznamy musia mať rovnaký počet položiek.
Zdroj: MicrosoftZdroj: Microsoft
Prečítajte si aj:
