Prítomnosť kódu Tarrask môžete preveriť v systémovom registri.

Hackerská skupina Hafnium je skupina zameriavajúca sa na telekomunikačné služby a poskytovateľov internetového spojenia. To ale neznamená, že sa jej vyhnú bežní používatelia. Práve ich počítače môžu byť zneužité na jej šírenie. Microsoft upozornil na hrozbu z dielne tejto skupiny na svojom webe a poukázal na to, ako ju svojpomocne identifikovať a zistiť, či je vôbec v systéme a týka sa vás.

Zákernosť kódu Tarrask je v tom, že využije plánovač úloh v systéme, ktorý slúži na plánovanie systémových činností. Rovnako ho môžete poznať aj vy a niektoré aplikácie ho využívajú na plánovanie hoci aj používateľsky definovaných činností. Častejší jav je však bežiaci proces, ktorý patrí vlastnej aplikácii a ten sa stará o spúšťanie plánovaných úloh. Napríklad kontrolu aktualizácií alebo čistenie systému, či napríklad defragmentáciu disk atď. Tarrask ale odstráni svoj záznam tým, že odstráni hodnotu zvanú Security Descriptor a tým ho nezbadáte v zozname plánovaných úloh, avšak neukáže sa ani pri spustení príkazu plánovača cez príkazový riadok.

V prípade, že používate antivírusový systém, je takmer isté že výrobcovia budú na to reagovať. Aktualizujú svoje definičné súbory o kontrolu záznamov pre tento typ hrozby. Antivírusové programy od Microsoftu už majú túto ochranu implementovanú

Ako nájsť hrozbu ručne?

  • Ako prvé je treba zistiť, či ju v systéme máte. To urobíte v registroch operačného systému (Win + R, regedit.exe).
  • Nájdite kľúč – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\
  • V zobrazení by ste mali ku každej úlohe vidieť aj jej identifikátor. V skratke, oba zoznamy musia mať rovnaký počet položiek.
regeditZdroj: Microsoft

Zdroj: Microsoft

Prečítajte si aj: