O que é vírus? [e a diferença para malware]O que é rootkit?
A descoberta foi feita pela Equipe de Detecção e Resposta da Microsoft (Dart, na sigla em inglês). O malware vem sendo usado pelo grupo de hackers Hafnium, que recebe apoio da China. O grupo já atacou empresas de defesa, think tanks e pesquisadores dos EUA. “A Microsoft continua a rastrear o grupo Hafnium, que é patrocinado por um Estado e está no topo da nossa lista de prioridades. Novas atividades descobertas se aproveitam de vulnerabilidades de dia zero sem correção como vetores iniciais”, diz o Dart. “A investigação revelou […] um malware de evasão de defesa chamado Tarrask que cria tarefas agendadas ‘ocultas’, e ações subsequentes para remover os atributos das tarefas, para escondê-las dos meios tradicionais de identificação.”
Como o malware Tarrask funciona
As tarefas que o Tarrask cria se aproveitam de um bug do Windows. Elas não aparecem ao usar o “schtasks /query” nem o Agendador de Tarefas. Como? O malware deleta o valor do descritor de segurança delas do registro. Portanto, só dá para encontrá-las ao procurar minuciosamente o Registro do Windows. É preciso verificar as tarefas agendadas sem um valor no descritor de segurança. E o que essas tarefas fazem? Elas “limpam” rastros de outros malwares que comprometem a segurança do sistema. Assim, fica mais difícil detectar suas atividades. O processo para removê-las é bastante complicado — a Microsoft tem um passo a passo para administradores de sistema em seu blog. Com informações: Bleeping Computer, Windows Central.
