Det noteras också att det påstås ha använts av hackergruppen Hafnium, som tidigare har gjort alla möjliga saker inom telekommunikationsområdet, inklusive att bryta nätverken hos internetleverantörer och dataöverföringssystem.
Kort sagt kan denna skadliga programvara, genom en bugg i Windows Task Scheduler, skapa dolda uppgifter och döljer sig därmed från upptäckt.
Enligt Microsoft tillhandahåller Tarrask med hjälp av sådana uppgifter sin egen “stabila drift i Windows-miljön.”
minns, används av systemet och applikationerna för schemalagd lansering av olika uppgifter: till exempel för att söka efter uppdateringar eller utföra underhållsåtgärder. Om ett eller annat av de applikationer som är installerade på datorn har lämpliga rättigheter, kan den också lägga till sina uppgifter i Schemaläggaren.
Tarrask, å andra sidan, döljer sina uppgifter från Schemaläggaren och från verktyget “” (som returnerar en lista med schemalagda uppgifter) genom att ta bort uppgiftsvärdet i Windows-registret. Som ett resultat upptäcks helt enkelt inte både Schemaläggaren och skadliga uppgifter.
Microsoft klargör att Tarrask inte helt tar bort information om uppgiften och dess spår lagras i systemregistret. Enligt företagsexperter gjorde hackarna detta antingen för att få programmet att fungera mer stabilt, eller så visste de inte att uppgiften skulle “fortsätta att köra” även efter att SD-komponenten tagits bort.
Support föreslår att man letar efter tecken på närvaron av Tarrask i ett Windows-system genom att “manuellt” analysera information om schemalagda uppgifter i systemregistret.
Algoritmen för åtgärder är som följer:
- öppna();
- i fönstret (till vänster) går vi till mappen – den innehåller hela den aktuella listan över planerade Windows-säkerhetskopior;
- Vi går igenom varje uppgift i tur och ordning och identifierar de som inte har den angivna parametern.
En uppgift utan SD()-parametern är dold och visas inte i schemaläggaren och i systemkommandoraden vid kommando. Ett sådant jobb kommer inte heller att raderas på vanligt sätt, eftersom det exekveras i SYSTEM-användarens sammanhang. Och som svar på ett försök att ta bort en uppgift visar systemet ett felmeddelande som säger att åtkomst nekats.
Enligt Microsoft upptäcker Windows Defender redan Tarrask skadlig kod och dolda uppgifter, den senare markeras som Behavior:Win32/ScheduledTaskHide.A.
För mer information om Microsofts rekommenderade åtgärder för att förhindra och upptäcka Tarrask, läs företagets officiella blogg – [ССЫЛКА].
[irp]
